Het ISO 42001 auditproces
Je hebt je AI-managementsysteem opgezet volgens ISO 42001 . Nu komt de certificeringsaudit door een geaccrediteerde instantie . Hoe verloopt dat proces? Wat kun je verwachten? En hoe bereid je je voor?
De certificerende instanties
In Nederland kun je terecht bij verschillende geaccrediteerde certificerende instanties (CI’s):
- DNV - Reikte het eerste ISO 42001 certificaat in Nederland uit
- BSI - Erkend door de Raad voor Accreditatie
- TÜV - Bekend van automotive en industrie, ook actief in AI
- Kiwa - Nederlandse CI met brede ervaring
- LRQA - Internationaal opererend
De keuze hangt af van factoren als prijs, beschikbaarheid, branchekennis en of je al een relatie hebt met een CI via andere certificeringen. Lees meer over certificerende instanties.
Kies een CI die geaccrediteerd is voor ISO 42001. Accreditatie betekent dat een onafhankelijke instantie (in Nederland de RvA) heeft gecontroleerd dat de CI competent is om deze audits uit te voeren.
Het auditproces in stappen
Offerteaanvraag en planning
Je vraagt offertes aan bij een of meer CI’s. Ze willen weten:
- Wat is de scope van je AIMS?
- Hoeveel medewerkers?
- Hoeveel AI-systemen?
- Welke locaties?
- Heb je al andere ISO-certificeringen?
Op basis hiervan bepalen ze het aantal auditdagen en de kosten. Na akkoord plan je de auditdatum.
Fase 1: Documentatiebeoordeling
De eerste fase is een documentatiecheck. De auditor beoordeelt of je managementsysteem op papier compleet is.
Wat controleert de auditor?
- Is de scope duidelijk gedefinieerd?
- Is er een AI-beleid?
- Zijn rollen en verantwoordelijkheden vastgelegd?
- Is er een risicobeoordeling gedaan?
- Is er een impactanalyse?
- Is er een Verklaring van Toepasselijkheid?
- Zijn de verplichte procedures aanwezig?
Hoe verloopt het? Fase 1 kan op afstand plaatsvinden (documentenreview) of on-site. Duur: 1-3 dagen, afhankelijk van de complexiteit.
Wat is de output? Een rapport met bevindingen. Als er grote tekortkomingen zijn, moet je die corrigeren voordat je door kunt naar fase 2.
Fase 2: Praktijkaudit
De tweede fase is de praktijkaudit. De auditor komt langs en controleert of je doet wat je hebt opgeschreven.
Wat doet de auditor?
Interviews: Gesprekken met medewerkers op verschillende niveaus. De directie over commitment en beleid. AI-ontwikkelaars over hoe ze risico’s beoordelen. Operationele medewerkers over bewustzijn.
Bewijsvoering: De auditor vraagt om bewijs. “Laat me de impactanalyse zien van dit AI-systeem.” “Hoe ziet de logging eruit?” “Waar staat de goedkeuring voor dit risico?”
Observatie: Hoe werken processen in de praktijk? Wordt het beleid gevolgd?
Hoelang duurt het? Fase 2 duurt 2-8 dagen, afhankelijk van je organisatiegrootte en het aantal AI-systemen. De auditor plant interviews, bezoekt locaties en bekijkt systemen.
Bevindingen en conclusie
Aan het eind van fase 2 presenteert de auditor de bevindingen. Er zijn drie categorieën:
Major non-conformities: Ernstige afwijkingen. Een kerneis van de norm wordt niet nageleefd. Een major moet je corrigeren voordat je het certificaat krijgt.
Voorbeeld: Er is geen impactanalyse gedaan voor een AI-systeem dat beslissingen neemt over mensen.
Minor non-conformities: Minder ernstige afwijkingen. Een eis wordt niet volledig nageleefd, maar het systeem functioneert wel. Een minor moet je corrigeren, maar dit kan binnen een afgesproken termijn na de audit.
Voorbeeld: De risicoanalyse is uitgevoerd, maar niet goed gedocumenteerd.
Observaties: Geen afwijkingen, maar verbeterpunten. Je hoeft er niets mee te doen, maar het is advies.
Correctie van bevindingen
Als er non-conformities zijn, krijg je tijd om ze te corrigeren. Meestal 90 dagen voor majors, soms langer voor minors.
Je stuurt bewijs van correctie naar de auditor. Die beoordeelt of de correctie afdoende is. Bij majors kan een verificatie-audit nodig zijn.
Certificaatuitgifte
Als alles in orde is, krijg je het certificaat. Dit is drie jaar geldig.
De jaarlijkse controle-audits
Na de initiële certificering volgen jaarlijkse controle-audits (surveillance audits). Deze zijn minder uitgebreid dan de initiële audit, maar dekken wel alle onderdelen van de norm over de cyclus van drie jaar.
De auditor controleert:
- Is het AIMS nog actueel?
- Zijn er wijzigingen geweest?
- Zijn eerdere bevindingen opgepakt?
- Functioneert het systeem nog steeds?
- Is er verbetering?
Na drie jaar volgt een hercertificeringsaudit. Die is vergelijkbaar met de initiële audit.
Wat verwacht de auditor?
De auditor kijkt naar drie dingen:
Conformiteit. Voldoe je aan de eisen van de norm? Zijn de verplichte elementen aanwezig?
Effectiviteit. Werkt het systeem? Bereik je je doelstellingen? Worden risico’s daadwerkelijk beheerst?
Verbetering. Verbeter je? Leer je van incidenten? Worden interne audits opgevolgd?
Specifiek voor ISO 42001
Omdat ISO 42001 nieuw is, let de auditor extra op AI-specifieke elementen:
De impactanalyse. Heb je echt nagedacht over de impact van je AI op mensen? Is dit meer dan een vinkje?
Uitlegbaarheid. Kun je uitleggen hoe je AI-systemen tot beslissingen komen? Niet tot op de bit, maar conceptueel.
Bias en eerlijkheid. Heb je onderzocht of je AI discrimineert? Wat heb je gedaan om dit te voorkomen?
De levenscyclus. Hoe monitor je AI na deployment? Wat gebeurt er als een model degradeert?
Data. Hoe ga je om met trainingsdata? Kwaliteit, herkomst, privacy?
De auditor is geen AI-expert die je code beoordeelt. Maar de auditor verwacht wel dat je kunt uitleggen hoe je AI-systemen werken en hoe je risico’s beheert. Technisch jargon zonder begrip helpt niet.
Tips voor een succesvolle audit
Voorbereiding
Zorg dat documentatie actueel is. Verouderde procedures zijn een rode vlag. Update alles voor de audit.
Doe een pre-audit. Loop zelf door de eisen en check of alles klopt. Of vraag een consultant.
Bereid medewerkers voor. Wie kan geïnterviewd worden? Weten ze wat het AIMS is? Kennen ze het beleid?
Verzamel bewijs. De auditor vraagt om bewijs. Zorg dat je het kunt vinden. Risicoanalyses, trainingsrecords, notulen, logfiles.
Tijdens de audit
Wees eerlijk. Als je iets niet hebt of niet weet, zeg het. Bluffen of smoezen werkt averechts.
Geef directe antwoorden. Beantwoord de vraag die gesteld wordt. Niet afdwalen naar andere onderwerpen.
Laat zien wat je doet. Niet alleen vertellen, maar tonen. Schermen laten zien, documenten openen.
Neem de tijd. Als je iets moet opzoeken, vraag even tijd. Beter iets goeds leveren dan onder druk iets verkeerds zeggen.
Noteer bevindingen. Schrijf op wat de auditor zegt. Dit helpt bij de follow-up.
Veel voorkomende valkuilen
Alleen op papier. Een perfect gedocumenteerd systeem dat niemand kent of gebruikt. De auditor prikt daar doorheen.
Geen bewijs. “We doen dit altijd” zonder iets te kunnen laten zien.
Onduidelijke verantwoordelijkheden. Niemand weet wie eigenaar is van welke AI.
Geen impactanalyse. Dit is nieuw en specifiek voor ISO 42001. Vergeet het niet.
Verouderde risicoanalyse. Een analyse van twee jaar geleden terwijl je AI-landschap is veranderd.
Na de audit
Bij positief resultaat
Je krijgt het certificaat. Vier het moment, maar realiseer je dat het werk doorgaat.
Plan de eerste controle-audit (meestal na een jaar). Houd het AIMS levend: blijf monitoren, auditen, verbeteren.
Bij negatief resultaat
Niet dramatiseren. Pak de bevindingen aan. Je krijgt meestal een tweede kans via correctieacties of een herauit.
Analyseer wat er misging. Was het een documentatieprobleem? Een implementatieprobleem? Een commitment-probleem? De oorzaak bepaalt de oplossing.
De kosten van de audit
De auditkosten hangen af van het aantal dagen. Reken op €1.000-€2.000 per dag.
| Organisatietype | Fase 1 | Fase 2 | Totaal |
|---|---|---|---|
| Klein (10-50 fte) | 1 dag | 2-3 dagen | €3.000-€8.000 |
| Midden (50-250 fte) | 1-2 dagen | 3-5 dagen | €6.000-€14.000 |
| Groot (250+ fte) | 2-3 dagen | 5-8 dagen | €10.000-€22.000 |
Jaarlijkse controle-audits zijn goedkoper: 50-70% van de initiële audit.
Combinatie-audits
Als je al ISO 27001 hebt, kun je een gecombineerde audit doen. De auditor beoordeelt beide systemen tegelijk. Dit is efficiënter en goedkoper dan twee losse audits.
De overlap tussen ISO 27001 en ISO 42001 is significant. Veel processen (interne audit, management review, documentbeheer) gelden voor beide.
Lees meer over ISO 42001 vs ISO 27001.
Meer lezen
- Interne audit - Voorbereiding op de externe audit
- Certificerende instanties - Wie kan je certificeren?
- Eisen van de norm - Waar word je op beoordeeld?
- Documentatie - Wat je nodig hebt
- Veelgemaakte fouten - Wat je moet vermijden
- Stappenplan - Het hele traject
- Kosten en doorlooptijd - De investering