Skip to Content
ISO 42001Documentatie

Documentatie voor ISO 42001

ISO 42001  vraagt om gedocumenteerde informatie. De norm is verkrijgbaar bij NEN  en volgt dezelfde High Level Structure  als andere ISO-normen. Niet een dikke ordner met procedures die niemand leest, maar werkende documentatie die je systeem ondersteunt. Op deze pagina leggen we uit wat je nodig hebt en hoe je het praktisch houdt.

Verplichte documentatie

De norm schrijft expliciet bepaalde documenten voor. Deze moet je hebben voor certificering.

Scope van het AIMS

Wat: Een document dat beschrijft welke onderdelen van je organisatie en welke AI-systemen binnen het AI-managementsysteem vallen.

Waarom: De auditor moet weten wat wordt beoordeeld. Je kunt niet alles certificeren en later blijkt dat de helft buiten scope valt.

Praktisch: 1-2 pagina’s. Beschrijf welke AI-systemen, welke locaties, welke processen. Wees specifiek.

AI-beleid

Wat: Een document dat de intenties en richting van de organisatie beschrijft rond AI. Ondertekend door het topmanagement.

Waarom: Het beleid is de basis voor alle andere beslissingen. Het communiceert wat je organisatie nastreeft met AI.

Praktisch: 2-4 pagina’s. Beschrijf je principes (transparantie, eerlijkheid, verantwoording), je doelstellingen, je governance. Geen corporate speak, maar concrete richtlijnen.

Het beleid moet gecommuniceerd zijn aan relevante medewerkers. Een beleid dat in een la ligt, telt niet.

Risicobeoordeling en -behandeling

Wat: Documentatie van het risicomanagementproces: hoe identificeer, analyseer en behandel je AI-risico’s? Plus de resultaten: welke risico’s heb je geïdentificeerd en wat doe je eraan?

Waarom: De risicoanalyse bepaalt welke maatregelen je neemt. Zonder gedocumenteerde analyse kan de auditor je keuzes niet beoordelen.

Praktisch: Een risicoregister (spreadsheet) met per AI-systeem de risico’s, scores en behandeling. Plus een beschrijving van de methodiek.

Lees meer over AI-risicomanagement.

AI-systeemimpactanalyse

Wat: Documentatie van de impact van je AI-systemen op individuen, groepen en de maatschappij.

Waarom: Dit is uniek aan ISO 42001. Je moet aantonen dat je hebt nagedacht over de bredere gevolgen van je AI.

Praktisch: Een template per AI-systeem met: beschrijving, betrokkenen, impact per dimensie (eerlijkheid, privacy, veiligheid), mitigatiemaatregelen.

Lees meer over AI impact assessment.

Verklaring van Toepasselijkheid (VvT / SoA)

Wat: Een document dat per beheersmaatregel uit Annex A aangeeft of je hem hebt geselecteerd, en waarom wel of niet.

Waarom: Je hoeft niet alle 38 maatregelen te implementeren. Maar je moet je keuzes kunnen uitleggen.

Praktisch: Een tabel met alle maatregelen. Per maatregel: van toepassing (ja/nee), reden, status van implementatie.

Doelstellingen

Wat: Gedocumenteerde doelstellingen voor het AI-managementsysteem.

Waarom: Zonder meetbare doelen kun je niet beoordelen of het systeem effectief is.

Praktisch: 3-5 concrete doelstellingen met metrics. Bijvoorbeeld: “95% van nieuwe AI-systemen doorloopt impactanalyse voor deployment.”

Competentiebewijs

Wat: Bewijs dat medewerkers die AI-gerelateerde taken uitvoeren de benodigde competenties hebben.

Waarom: Je moet kunnen aantonen dat mensen gekwalificeerd zijn voor hun werk.

Praktisch: Trainingsregistratie, certificaten, cv’s, opleidingsplannen.

Resultaten van interne audits

Wat: Rapporten van interne audits, inclusief bevindingen en opvolging.

Waarom: Interne audits zijn verplicht. Je moet kunnen laten zien dat je ze uitvoert en opvolgt.

Praktisch: Auditrapport per audit met scope, bevindingen, correctieve acties.

Resultaten van directiebeoordelingen

Wat: Notulen of rapporten van management reviews.

Waarom: De directie moet periodiek het AIMS beoordelen. Dit moet gedocumenteerd zijn.

Praktisch: Notulen met de vereiste input (prestaties, audits, risico’s) en output (beslissingen, acties).

Afwijkingen en corrigerende maatregelen

Wat: Registratie van afwijkingen (dingen die misgaan) en de acties die je neemt.

Waarom: Continue verbetering vraagt om leren van fouten. Je moet dit kunnen aantonen.

Praktisch: Een register of ticketsysteem met afwijkingen, oorzaakanalyse, correcties, status.

Aanbevolen documentatie

Naast de verplichte documenten zijn er documenten die niet expliciet vereist zijn, maar die wel helpen.

AI-systeemregister

Een overzicht van alle AI-systemen: naam, eigenaar, doel, status, risiconiveau, links naar analyses.

Procedures

Beschrijvingen van hoe processen werken:

  • Procedure voor AI-impactanalyse
  • Procedure voor AI-inzet (hoe worden nieuwe AI-systemen geëvalueerd?)
  • Procedure voor incidentmanagement
  • Procedure voor leveranciersbeoordeling

Technische documentatie per AI-systeem

Per AI-systeem:

  • Beschrijving van het model
  • Trainingsdata en -proces
  • Prestatiemetrieken
  • Beperkingen en risico’s
  • Handleiding voor gebruikers

Trainingsmateriaal

Materiaal voor AI-geletterdheid:

  • Bewustzijnstraining voor alle medewerkers
  • Specialistische training voor ontwikkelaars
  • Gebruikerstraining per systeem

Leveranciersbeoordelingen

Documentatie van hoe je AI-leveranciers beoordeelt en monitort.

Lees meer over leveranciersbeheer.

Hoeveel documentatie is genoeg?

De norm zegt niet hoe lang documenten moeten zijn. Het gaat om:

Compleetheid: Zijn alle vereiste elementen aanwezig?

Actualiteit: Is de documentatie up-to-date?

Bruikbaarheid: Wordt de documentatie gebruikt? Weten mensen waar het staat?

Navolgbaarheid: Kan een auditor de logica volgen?

Meer documentatie is niet beter. Een startup kan met 20 pagina’s aan documentatie voldoen aan de norm. Een multinational heeft meer nodig, maar niet per se proportioneel meer.

Documentbeheer

ISO 42001 vraagt ook om beheer van je documentatie.

Versiebeheer

Documenten moeten versies hebben. Je moet kunnen zien wat de huidige versie is en wat er is veranderd.

Goedkeuring

Belangrijke documenten (beleid, procedures) moeten worden goedgekeurd door de juiste persoon.

Beschikbaarheid

Documenten moeten beschikbaar zijn voor wie ze nodig heeft. Niet verborgen in iemands inbox.

Bescherming

Documenten moeten beschermd zijn tegen ongeautoriseerde wijziging of verlies.

Behoud

Je moet documenten bewaren, ook oude versies. De auditor kan vragen naar historische informatie.

Tooling

Je hebt geen fancy software nodig. Maar tooling kan helpen.

Eenvoudig

  • Google Drive / SharePoint: Documenten opslaan met mappen en versies.
  • Wiki (Notion, Confluence): Procedures en handleidingen.
  • Spreadsheets: Risicoregisters, SoA, AI-systeemregister.

Gespecialiseerd

Wat past?

  • Startup: Google Drive + Notion + spreadsheets is prima.
  • MKB: Overweeg een GRC-platform als je meerdere frameworks combineert.
  • Enterprise: GRC-platform bijna noodzakelijk voor overzicht en audits.

De minimale set voor een startup

Als je lean wilt starten, focus dan op:

  1. AI-beleid (2 pagina’s)
  2. Scope (1 pagina)
  3. AI-systeemregister (spreadsheet)
  4. Risicoregister (spreadsheet)
  5. Impact assessment template (herbruikbaar)
  6. Statement of Applicability (tabel)
  7. Auditnotulen (na uitvoering)
  8. Management review notulen (na uitvoering)

Dit is niet veel. Begin hiermee en bouw uit waar nodig.

Documentatie en de audit

De auditor vraagt om documentatie als bewijs. Bereid je voor:

Fase 1: De auditor beoordeelt je documentatie. Is alles aanwezig? Is het coherent?

Fase 2: De auditor vraagt om specifieke documenten als bewijs. “Laat me de impactanalyse zien van systeem X.” “Waar staat de goedkeuring voor dit risico?”

Tips:

  • Weet waar alles staat
  • Zorg dat documenten actueel zijn
  • Print of open documenten niet pas tijdens de audit
  • Heb iemand die snel kan zoeken

Veel voorkomende fouten

Te veel documentatie. Pagina’s vol tekst die niemand leest. Houd het kort en relevant.

Niet actueel. Procedures van twee jaar geleden terwijl het proces is veranderd.

Niet vindbaar. “Het staat ergens…” is geen goed antwoord tijdens een audit.

Niet gecommuniceerd. Prachtige documenten die niemand kent.

Copy-paste van andere normen. ISO 27001 documentatie met “AI” erbij. Dat prikt de auditor doorheen.

Documentatie als hulpmiddel

Zie documentatie niet als audit-papierwerk. Goede documentatie helpt je organisatie:

  • Nieuwe medewerkers sneller inwerken
  • Consistentie borgen over teams
  • Kennis behouden als mensen vertrekken
  • Incidenten analyseren en ervan leren
  • Verbeteren op basis van metingen

Als je documentatie alleen schrijft voor de auditor, mis je de waarde.

Meer lezen

Kosten en tijdlijnInterne audit