ISO 42001 vs ISO 27001

ISO 42001 en ISO 27001 lijken op elkaar. Dezelfde structuur door de High Level Structure , dezelfde aanpak, vergelijkbare processen. Toch zijn het verschillende normen met een andere focus. Op deze pagina leggen we de verschillen uit en bespreken we hoe je ze combineert.

De kern van het verschil

ISO 27001 gaat over informatiebeveiliging. Hoe bescherm je informatie tegen ongeautoriseerde toegang, verlies of beschadiging? De focus is de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

ISO 42001 gaat over AI-governance. Hoe zorg je dat AI verantwoord, transparant en betrouwbaar is? De focus is de impact van AI op mensen, de eerlijkheid van beslissingen, de uitlegbaarheid van systemen.

Er is overlap. AI-systemen verwerken informatie. Beveiliging is relevant voor AI. Maar de invalshoek is fundamenteel anders.

Structurele vergelijking

Beide normen volgen de High Level Structure (HLS). De hoofdstukindeling is identiek:

Hoofdstuk	ISO 27001	ISO 42001
4	Context van de organisatie	Context van de organisatie
5	Leiderschap	Leiderschap
6	Planning	Planning
7	Ondersteuning	Ondersteuning
8	Uitvoering	Uitvoering
9	Evaluatie van prestaties	Evaluatie van prestaties
10	Verbetering	Verbetering

De inhoud van deze hoofdstukken is vergelijkbaar. Als je ISO 27001 kent, herken je de structuur van ISO 42001 onmiddellijk.

Het grote verschil zit in de bijlagen. ISO 27001 heeft Annex A met 93 beheersmaatregelen voor informatiebeveiliging. ISO 42001 heeft Annex A met 38 beheersmaatregelen voor AI-governance.

Wat heeft ISO 42001 dat ISO 27001 niet heeft?

AI-specifieke risicoanalyse

ISO 42001 vraagt om AI-specifieke risico’s te beoordelen. Niet alleen beveiligingsrisico’s, maar ook:

Model drift (het model wordt slechter over tijd)
Bias en discriminatie
Onuitlegbaarheid van beslissingen
Verkeerd gebruik van AI
Technische beperkingen van AI

Impact assessment

De AI impact assessment is uniek aan ISO 42001. Je beoordeelt niet alleen risico’s voor de organisatie, maar de impact op individuen, groepen en de maatschappij.

Wie wordt geraakt als de AI fouten maakt?
Hoe erg is dat?
Zijn bepaalde groepen systematisch benadeeld?
Kunnen mensen de beslissingen begrijpen en aanvechten?

Levenscyclusbeheer van AI

ISO 42001 vraagt expliciet aandacht voor de hele levenscyclus van AI:

Ontwikkeling en training
Testen en validatie
Deployment
Monitoring na deployment
Model updates en retraining
Uitfasering

Data governance voor AI

De maatregelen rond data in ISO 42001 zijn AI-specifiek:

Herkomst van trainingsdata
Kwaliteit en representativiteit van data
Labeling van data
Bias in datasets

Uitlegbaarheid en transparantie

ISO 42001 vraagt om:

Duidelijkheid over wanneer mensen met AI te maken hebben
Uitleg over hoe AI-beslissingen tot stand komen
Informatieverstrekking aan gebruikers en betrokkenen

Wat heeft ISO 27001 dat ISO 42001 niet heeft?

Diepgang in informatiebeveiliging

ISO 27001 gaat veel dieper op beveiligingsmaatregelen:

Cryptografie en sleutelbeheer
Netwerksegmentatie
Fysieke beveiliging
Toegangsbeheer
Incidentmanagement
Business continuity

ISO 42001 heeft wel aandacht voor beveiliging, maar niet met dezelfde diepgang.

Informatieclassificatie

ISO 27001 vraagt om informatie te classificeren op gevoeligheid en passende bescherming toe te passen. Dit concept bestaat niet in dezelfde vorm in ISO 42001.

Supplier security

ISO 27001 heeft uitgebreide maatregelen voor leveranciersbeveiliging. ISO 42001 heeft leveranciersmaatregelen, maar dan gericht op AI-specifieke aspecten.

De overlap

Er is significante overlap op procesniveau:

Governance: Beide vragen om beleid, rollen, verantwoordelijkheden
Risicoanalyse: Beide gebruiken een risicogebaseerde aanpak
Documentatie: Beide vragen om gedocumenteerde processen en bewijs
Interne audit: Dezelfde aanpak
Management review: Hetzelfde proces
Continue verbetering: Dezelfde methodiek

Als je één van beide hebt, kun je veel hergebruiken voor de andere.

De High Level Structure is bewust ontworpen om integratie te vergemakkelijken. Je kunt één geïntegreerd managementsysteem opzetten dat beide normen dekt.

Wanneer heb je welke nodig?

Alleen ISO 27001

Je verwerkt informatie, maar gebruikt geen AI. Of je gebruikt minimale AI zonder significante impact.

Voorbeelden:

Een accountantskantoor dat gevoelige klantdata verwerkt
Een hostingbedrijf
Een ziekenhuis (met aanvulling van NEN 7510)

Alleen ISO 42001

Je ontwikkelt of gebruikt AI, maar informatiebeveiliging is minder kritisch of al op andere manieren geadresseerd.

Dit scenario is zeldzaam. AI-systemen verwerken bijna altijd data, dus beveiliging is relevant.

Beide normen

Je verwerkt gevoelige informatie én je gebruikt AI met impact op mensen.

Dit is het meest voorkomende scenario voor organisaties die serieus met AI bezig zijn.

Voorbeelden:

Een fintech bedrijf met AI-gedreven kredietbeoordeling
Een HR-techbedrijf met AI-gedreven werving
Een healthcare AI-bedrijf
Een AI-platform dat klantdata verwerkt

Hoe combineer je ze?

Geïntegreerd managementsysteem

Je bouwt één managementsysteem dat beide normen dekt. De processen (governance, audit, review) zijn gedeeld. De beheersmaatregelen zijn aanvullend.

Voordelen:

Efficiëntie: geen dubbel werk
Consistentie: één beleid, één governance
Overzicht: één systeem om te beheren

Nadelen:

Complexiteit: meer scope in één systeem
Expertise: je hebt kennis van beide normen nodig

Gecombineerde audits

Je kunt de certificeringsaudits combineren. Eén auditor (of team) beoordeelt beide systemen tegelijk. Dit scheelt tijd en geld.

De meeste certificerende instanties bieden dit aan.

Sequentiële aanpak

Als je één norm al hebt, bouw je de andere erop voort.

ISO 27001 eerst → ISO 42001 later: Je hebt al de governance-structuur, de auditprocessen, het documentbeheer. Je voegt de AI-specifieke elementen toe.

ISO 42001 eerst → ISO 27001 later: Minder gebruikelijk, maar mogelijk. Je hebt de governance, maar moet de informatiebeveiligingsmaatregelen uitbouwen.

Praktische tips

Als je ISO 27001 hebt

Je hebt een voorsprong. Veel processen kun je hergebruiken:

Governance-structuur
Risicomanagementproces
Auditprogramma
Documentbeheer
Management review

Wat je moet toevoegen:

AI-specifieke risicoanalyse
Impact assessments
AI-beheersmaatregelen (Annex A)
Levenscyclusbeheer voor AI
Data governance voor AI

Als je niets hebt

Begin met de norm die het meest urgent is voor je business.

Kies ISO 27001 eerst als:

Je nu al gevoelige data verwerkt
Klanten om ISO 27001 vragen
AI nog in ontwikkeling is

Kies ISO 42001 eerst als:

AI de kern van je business is
De EU AI Act direct van toepassing is
Klanten om AI-governance vragen

Of bouw meteen een geïntegreerd systeem.

Eén managementsysteem, twee certificaten

Dit is het meest efficiënte scenario. Je hebt:

Eén beleidsdocument dat beide dekt
Eén governance-structuur
Eén risicomanagementproces (met twee perspectieven: security en AI)
Eén auditprogramma
Eén management review
Twee Statements of Applicability (één per norm)
Twee certificaten

Kosten van combinatie

De combinatie is goedkoper dan twee losse trajecten.

Scenario	Implementatie	Audit
Alleen ISO 27001	€15.000 - €50.000	€6.000 - €15.000
Alleen ISO 42001	€15.000 - €75.000	€8.000 - €20.000
Beide los	€30.000 - €125.000	€14.000 - €35.000
Geïntegreerd	€25.000 - €100.000	€10.000 - €28.000

De besparing zit in de gedeelde processen en de gecombineerde audit.

De toekomst

De combinatie van informatiebeveiligingen AI-governance wordt steeds gebruikelijker. AI-systemen zijn per definitie informatieverwerkende systemen. Goede AI-governance zonder beveiliging is incompleet.

Verwacht dat organisaties die serieus met AI werken beide normen gaan implementeren, al dan niet geïntegreerd.

De EU AI Act versterkt dit. De wet eist zowel cybersecurity als verantwoorde AI. De combinatie van ISO 27001 en ISO 42001 dekt beide.

Meer lezen

Wat is ISO 42001? - Introductie tot de AI-norm
Wat is ISO 27001? - Introductie tot de informatiebeveiligingsnorm
EU AI Act en ISO 42001 - De wettelijke context
Annex A beheersmaatregelen - De AI-maatregelen