Skip to Content
ISO 42001Veelgemaakte fouten

Veelgemaakte fouten bij ISO 42001

ISO 42001  is nieuw. Dat betekent dat er nog geen decennia aan best practices zijn. Maar de eerste implementaties leren ons al wat wel en niet werkt. Met de EU AI Act  die steeds concreter wordt, is het belangrijk om het goed te doen. Deze pagina beschrijft de meest voorkomende fouten en hoe je ze vermijdt.

Fout 1: AI-governance als IT-project behandelen

De grootste misvatting is dat ISO 42001 een IT-project is. Dat de IT-afdeling of het data science team het wel even regelt.

Waarom dit fout gaat: AI-governance raakt de hele organisatie. Juridisch moet meedenken over aansprakelijkheid en compliance. HR heeft te maken met AI in werving. Marketing gebruikt AI voor personalisatie. Finance moet risico’s waarderen.

Als alleen IT ermee bezig is, mis je cruciale perspectieven. De impact assessment wordt te technisch. Risico’s worden niet herkend omdat niemand buiten IT meedenkt.

Hoe het wel moet: Stel een cross-functioneel team samen. Zorg dat juridisch, compliance, HR, business en IT vertegenwoordigd zijn. Maak iemand van de directie eindverantwoordelijk.

De EU AI Act maakt directieleden expliciet verantwoordelijk voor AI-governance. Dit is geen IT-feestje meer. Het is een bestuurlijke verantwoordelijkheid.

Fout 2: Niet weten waar je AI zit

Veel organisaties ontdekken tijdens de implementatie dat ze meer AI hebben dan ze dachten.

Verborgen AI:

  • Excels met voorspellende formules
  • Ingekochte software met AI-componenten
  • Cloud-diensten met machine learning features
  • Marketing automation tools
  • Chatbots die niemand meer beheert

Waarom dit fout gaat: Je kunt geen risico’s managen van systemen die je niet kent. Je impact assessment is incompleet. Je scope klopt niet. De auditor vindt systemen die niet in je documentatie staan.

Hoe het wel moet: Begin met een grondige inventarisatie. Vraag elke afdeling wat ze gebruiken. Check je inkoop- en contractenadministratie. Kijk naar API-koppelingen en data-integraties.

Fout 3: Impactanalyse als vinkje

De AI impact assessment is nieuw voor de meeste organisaties. De verleiding is groot om het af te raffelen. Een template invullen zonder echt na te denken.

Tekenen van een slechte impactanalyse:

  • Alle vragen beantwoord met “niet van toepassing”
  • Geen concrete voorbeelden van wie geraakt wordt
  • Alleen positieve impacts benoemd
  • Geen maatregelen bij geïdentificeerde risico’s

Waarom dit fout gaat: De auditor prikt erdoorheen. Maar belangrijker: je mist echte risico’s. Als je AI discrimineert of mensen schaadt, ontdek je dat pas als het te laat is.

Hoe het wel moet: Neem de tijd. Betrek mensen van buiten het projectteam. Stel lastige vragen: wat als de AI fouten maakt? Wie wordt dan benadeeld? Kun je dat uitleggen aan de krant?

Fout 4: Copy-paste van ISO 27001

ISO 42001 lijkt op ISO 27001. De structuur is hetzelfde. De verleiding is groot om je bestaande ISMS te kopiëren en “AI” toe te voegen.

Waarom dit fout gaat: ISO 42001 gaat over andere zaken dan informatiebeveiliging. Concepten als bias, eerlijkheid, uitlegbaarheid zijn fundamenteel anders dan vertrouwelijkheid en beschikbaarheid.

De Annex A maatregelen zijn compleet anders. Je moet ze opnieuw doorlopen, niet copy-pasten.

Hoe het wel moet: Gebruik je ISO 27001 systeem als basis voor de gedeelde processen: governance, audit, documentbeheer. Maar behandel de AI-specifieke onderdelen als nieuw werk dat echte aandacht verdient.

Fout 5: Te veel documentatie

Sommige organisaties denken dat meer documentatie beter is. Ze schrijven honderden pagina’s aan procedures die niemand leest.

Tekenen van over-documentatie:

  • Procedures voor processen die niet bestaan
  • Documenten die elkaar tegenspreken
  • Niemand weet waar wat staat
  • Updates worden niet bijgehouden

Waarom dit fout gaat: De auditor vraagt of mensen de procedures kennen. Als het antwoord “nee” is, heb je een probleem. Onrealistische documentatie wordt niet gevolgd.

Hoe het wel moet: Documenteer wat je daadwerkelijk doet. Houd het kort en begrijpelijk. Zorg dat mensen de documenten kennen en kunnen vinden. Update regelmatig.

Een auditor zei ooit: “Ik zie liever twee pagina’s die jullie volgen dan honderd pagina’s die in een la liggen.”

Fout 6: Subjectieve concepten negeren

Begrippen als “eerlijkheid”, “bias” en “uitlegbaarheid” zijn nieuw voor veel compliance-teams. Ze zijn subjectief en lastig te operationaliseren.

De reactie die niet werkt:

  • De maatregelen overslaan omdat ze te vaag zijn
  • Invullen met “we behandelen iedereen gelijk” zonder onderbouwing
  • Wachten tot iemand vertelt wat het precies betekent

Waarom dit fout gaat: Deze concepten zijn de kern van ISO 42001. Als je ze negeert, mis je het punt van de norm. En de EU AI Act gaat hier ook strenger op handhaven.

Hoe het wel moet: Accepteer dat er geen perfecte antwoorden zijn. Begin met wat je wél kunt doen:

  • Test je modellen op verschillende demografische groepen
  • Documenteer hoe beslissingen tot stand komen
  • Maak een proces voor mensen om beslissingen aan te vechten
  • Vraag extern advies als je vastloopt

Fout 7: Geen eigenaarschap per AI-systeem

Bij veel organisaties is onduidelijk wie verantwoordelijk is voor specifieke AI-systemen.

Symptomen:

  • “Dat is van IT” / “Dat is van de business”
  • Niemand voelt zich verantwoordelijk voor updates
  • Bij incidenten wijst iedereen naar elkaar

Waarom dit fout gaat: Zonder eigenaar worden risico’s niet gemanaged. Updates worden niet gedaan. De impactanalyse veroudert. Bij de audit kan niemand vragen beantwoorden.

Hoe het wel moet: Wijs per AI-systeem een eigenaar aan. Dit is iemand die:

  • Verantwoordelijk is voor de risico- en impactanalyse
  • Beslissingen neemt over wijzigingen
  • Vragen van de auditor kan beantwoorden
  • Escalaties doet bij problemen

Fout 8: Leveranciers vergeten

Veel organisaties gebruiken AI van derden. Ingekochte modellen, API’s van grote tech-bedrijven, AI-componenten in software.

Waarom dit fout gaat: ISO 42001 zegt: je bent verantwoordelijk voor de AI die je gebruikt, ook als je die niet zelf bouwt. Een vooroordeel in een ingekochte API is jouw probleem.

Hoe het wel moet: Breng je AI-leveranciers in kaart. Beoordeel de risico’s. Stel contractuele eisen. Vraag om documentatie over hoe de AI werkt en is getraind.

Lees de Annex A beheersmaatregelen over leveranciers (A.10).

Fout 9: Eenmalig implementeren

Sommige organisaties zien certificering als een project. Klaar is klaar. Het certificaat hangt aan de muur en iedereen gaat weer over tot de orde van de dag.

Waarom dit fout gaat: AI verandert continu. Modellen worden bijgewerkt. Nieuwe systemen komen erbij. De wet- en regelgeving evolueert. Een statisch systeem raakt snel verouderd.

Bij de eerste controle-audit blijkt dat de documentatie niet meer klopt. Risico-analyses zijn van een jaar geleden. Niemand heeft er meer naar gekeken.

Hoe het wel moet: Plan structureel onderhoud:

  • Kwartaalachtige reviews van risicoanalyses
  • Updates van documentatie bij wijzigingen
  • Jaarlijkse directiebeoordeling
  • Doorlopende monitoring van AI-prestaties

Fout 10: Te laat beginnen met de EU AI Act

De EU AI Act heeft strakke deadlines. Augustus 2026 voor hoog-risico AI. Sommige organisaties wachten af tot de laatste maand.

Waarom dit fout gaat: ISO 42001 implementatie kost minimaal 4-6 maanden, vaak langer. De conformiteitsbeoordeling voor de AI Act komt daar nog bovenop. Wie in mei 2026 begint, haalt augustus niet.

Hoe het wel moet: Begin nu. ISO 42001 bouwt de structuren die je voor de AI Act nodig hebt. De extra stappen voor AI Act compliance zijn dan behapbaar.

Hoe de auditor denkt

Begrijpen hoe auditors kijken helpt om fouten te voorkomen.

Auditors kijken naar:

  • Consistentie: doe je wat je zegt?
  • Bewijs: kun je het aantonen?
  • Begrip: begrijpen medewerkers het systeem?
  • Verbetering: leer je van wat er misgaat?

Rode vlaggen voor auditors:

  • Procedures die niet worden gevolgd
  • Documenten die niet actueel zijn
  • Medewerkers die vragen niet kunnen beantwoorden
  • Risicoanalyses zonder follow-up

Lees meer over het auditproces.

De checklist

Voordat je naar de audit gaat, check jezelf:

  • Weet ik waar al onze AI zit?
  • Heeft elk AI-systeem een eigenaar?
  • Is de impactanalyse serieus gedaan?
  • Zijn de documenten actueel?
  • Kennen medewerkers het beleid?
  • Zijn leveranciers beoordeeld?
  • Is de directie betrokken?
  • Is er een plan voor onderhoud?

Meer lezen

Certificerende instantiesEisen van de norm