.svg)
Organisaties die AI implementeren, worden in twee richtingen getrokken. Enerzijds moeten ze weten wat de wet voorschrijft. Anderzijds hebben ze behoefte aan een praktische manier om AI te beheren binnen teams, gebruikssituaties en leveranciers.
Maak kennis met de EU-AI-wet en ISO 42001.
Op het eerste gezicht lijken ze allebei over hetzelfde onderwerp te gaan, maar ze pakken verschillende problemen aan. De AI-wet is een bindende EU-verordening die wettelijke verplichtingen vaststelt voor AI-systemen en algemene AI-modellen die onder het toepassingsgebied vallen. ISO 42001 is een vrijwillige internationale norm voor het opzetten van een AI-beheersysteem binnen de hele organisatie.
Veel organisaties zullen uiteindelijk beide gebruiken: de AI-wet om te begrijpen wat er moet worden aangepakt, en ISO 42001 om het bestuursmodel op te zetten waarmee ze dit op een consistente manier kunnen doen.
Wat is de EU-AI-wet?
De EU-AI-wet vormt het wettelijke kader van de EU voor de regulering van AI. Deze wet stelt bindende regels vast op basis van AI-risico’s en definieert verplichtingen afhankelijk van de wijze waarop AI wordt ontwikkeld, aangeboden of gebruikt.
De EU-AI-wet is Verordening (EU) 2024/1689, het geharmoniseerde rechtskader van de EU voor kunstmatige intelligentie. De Europese Commissie omschrijft deze wet als het eerste alomvattende rechtskader voor AI, dat is gebaseerd op een risicogebaseerde aanpak. Het doel ervan is betrouwbare AI te bevorderen en tegelijkertijd de gezondheid, de veiligheid en de grondrechten te beschermen.
In de praktijk is de AI-wet van belang omdat deze niet alle toepassingen van AI op dezelfde manier behandelt. De wet maakt onderscheid tussen verboden praktijken, AI-systemen met een hoog risico, transparantieverplichtingen voor bepaalde AI-toepassingen en verplichtingen voor aanbieders van AI-modellen voor algemeen gebruik. Die structuur is van belang omdat de verplichtingen van een bedrijf afhangen van het soort AI dat het ontwikkelt, aanbiedt of implementeert, en van de rol die het speelt in de waardeketen.
Het is ook van belang dat de wet al geleidelijk wordt ingevoerd. De Commissie stelt dat de AI-wet op 1 augustus 2024 in werking is getreden en op 2 augustus 2026 volledig van toepassing zal zijn, waarbij sommige bepalingen al eerder van kracht worden. Verboden AI-praktijken en verplichtingen inzake AI-geletterdheid zijn op 2 februari 2025 van kracht geworden, en de verplichtingen voor aanbieders van AI-modellen voor algemeen gebruik zijn op 2 augustus 2025 in werking getreden. Organisaties bevinden zich dus in een overgangsperiode waarin sommige verplichtingen al van kracht zijn en andere nog geleidelijk worden ingevoerd.
Wat is ISO/IEC 42001?
ISO/IEC 42001 is een internationale norm voor het opzetten van een AI-beheersysteem. Deze norm helpt organisaties bij het beheren van AI door middel van vastgelegde beleidsregels, processen, rollen en voortdurende verbetering.
ISO/IEC 42001:2023 is de internationale norm voor AI-beheersystemen. Volgens ISO biedt deze norm eisen en richtlijnen voor organisaties die AI-systemen ontwikkelen, leveren of gebruiken, en is het de eerste wereldwijde norm die gericht is op het opzetten, implementeren, onderhouden en voortdurend verbeteren van een AI-beheersysteem.
Die invalshoek is belangrijk. ISO 42001 is geen wet en beperkt zich niet tot één specifiek AI-product of één enge juridische categorie. Het is een norm voor een managementsysteem op organisatieniveau. Het doel ervan is om beleid, doelstellingen, processen, verantwoordingsplicht en continue verbetering op het gebied van AI te verankeren. Met andere woorden: het gaat om het creëren van een herhaalbaar bestuurskader, niet alleen om het vastleggen van eenmalige controles.
Dit maakt ISO 42001 bijzonder relevant voor organisaties die het AI-beheer moeten coördineren tussen productteams, intern AI-gebruik, inkoop, toezicht door het management en audit- of assurancefuncties.
Zelfs als het om een vrijwillige maatregel gaat, kan het dienen als een gestructureerd werkmodel voor verantwoord AI-beheer. Dat laatste punt vloeit voort uit de beschrijving die ISO van de norm geeft als een organisatiebreed beheersysteem voor het vaststellen van beleid, doelstellingen en processen rond de verantwoorde ontwikkeling, levering of het gebruik van AI.
Belangrijkste verschillen tussen de EU-AI-wet en ISO 42001
Rechtspositie
Dit is het grootste verschil tussen beide. De EU-AI-wet is bindende wetgeving voor organisaties en AI-toepassingen die onder het toepassingsgebied vallen. ISO 42001 is een vrijwillige norm. Een bedrijf kan besluiten om ISO 42001 op te nemen in zijn governanceprogramma, maar kan zich niet onttrekken aan de AI-wet als de verordening van toepassing is.
Doel
De AI-wet is bedoeld om de risico’s van kunstmatige intelligentie op de EU-markt te reguleren en het algemeen belang te beschermen, zoals gezondheid, veiligheid en grondrechten. ISO 42001 is bedoeld om organisaties te helpen bij het opzetten en beheren van een AI-beheersysteem met beleid, processen en voortdurende verbetering. De ene is van regelgevende aard. De andere is van managementkundige aard.
Toepassingsgebied
De AI-wet legt verplichtingen op op basis van het type AI, het risiconiveau en de rol van de betrokkene, zoals de aanbieder of de gebruiker. ISO 42001 is van toepassing op het niveau van het managementsysteem binnen de hele organisatie en kan in bredere zin betrekking hebben op de ontwikkeling, levering, aanschaf en het gebruik van AI.
Hoe de implementatie in zijn werk gaat
De AI-wet schrijft voor dat organisaties moeten vaststellen of bepaalde systemen of modellen onder de gereguleerde categorieën vallen en vervolgens aan de relevante verplichtingen moeten voldoen. ISO 42001 schrijft voor dat organisaties een bestuursstructuur moeten opzetten waarin verantwoordelijkheden, processen, controles, evaluatiemechanismen en verbeteringscycli worden vastgelegd.
Hoe ‘goed bewijs’ eruitziet
Krachtens de AI-wet is bewijs gekoppeld aan wettelijke verplichtingen uit hoofde van de regelgeving. Krachtens ISO 42001 ligt het bewijs meer in het managementsysteem zelf: beleid, rollen, gedocumenteerde processen, interne evaluaties en verslagen over voortdurende verbetering. Dit onderscheid is van belang omdat naleving van de wetgeving en de volwassenheid van het managementsysteem weliswaar verwante, maar geen identieke begrippen zijn.
Waar ze elkaar overlappen
Hoewel ze qua status en opzet van elkaar verschillen, overlappen de twee kaders elkaar op een aantal belangrijke punten.
- Beide stimuleren organisaties om hun bestuur en verantwoording te versterken. De AI-wet doet dit via wettelijke verplichtingen en specifieke taken voor de betrokken partijen. ISO 42001 doet dit via een gestructureerd managementsysteem waarin beleid, doelstellingen en processen worden vastgelegd.
- Beide hebben betrekking op risicobeheer. De AI-wet is expliciet risicogebaseerd, met verschillende verplichtingen afhankelijk van de aard van het AI-systeem of -model. ISO 42001 is ontwikkeld om organisaties te helpen bij het beheersen van AI-gerelateerde risico’s via een systematisch bestuurskader.
- Beide zijn afhankelijk van documentatie, toezicht en controle. De precieze werking verschilt, maar geen van beide kaders functioneert in een vacuüm. Organisaties hebben behoefte aan duidelijk omschreven verantwoordelijkheden, documentatie, interne processen en een manier om te controleren of AI wordt beheerd zoals bedoeld.
Juist vanwege deze overlap zullen veel organisaties ze niet als alternatieven beschouwen. Ze zullen ze als lagen zien. De AI-wet stelt de externe eisen vast. ISO 42001 kan helpen bij het opzetten van de interne bestuursstructuur die deze eisen ondersteunt.
Hoe de EU-AI-wet en ISO 42001 samen te gebruiken
Voor veel organisaties is het het meest zinvol om beide te combineren. Begin met de AI-wet en gebruik vervolgens ISO 42001 om concreet vorm te geven aan wat de organisatie moet doen. De AI-wet geeft aan waar je vanuit juridisch en regelgevend oogpunt op moet letten, terwijl ISO 42001 je helpt bij het opzetten van een managementsysteem dat ervoor zorgt dat dit proces herhaalbaar is.
Een verstandige aanpak begint met het in kaart brengen van de wettelijke kaders. Een organisatie moet eerst vaststellen welke AI-systemen of algemene AI-modellen zij ontwikkelt, aanbiedt, implementeert of in haar bedrijfsvoering integreert, en vervolgens bepalen of deze systemen of modellen verboden zijn, een hoog risico inhouden, onderworpen zijn aan transparantieverplichtingen of vallen onder de verplichtingen voor algemene AI. Dit is het in kaart brengen van de regelgeving. Zonder deze stap lopen teams het risico dat zij governanceprocessen opbouwen op basis van verkeerde aannames.
Zodra dat juridische kader duidelijk is, kan ISO 42001 als bestuurslaag worden ingezet. De norm kan de organisatie helpen bij het vaststellen van beleid voor het gebruik van AI, het toewijzen van rollen en verantwoordelijkheden, het formuleren van doelstellingen, het opzetten van processen voor risicobeoordeling en -evaluatie, het formaliseren van documentatieprocedures en het creëren van mechanismen voor monitoring en continue verbetering. Dit zijn precies de zaken die een organisatie helpen om de overstap te maken van ad-hoc toezicht op AI naar een duurzaam systeem.
Daarom kan de relatie het best als volgt worden omschreven: de EU-AI-wet legt de wettelijk relevante verplichtingen vast, terwijl ISO 42001 een managementsysteem biedt waarmee een organisatie op een gestructureerde en herhaalbare manier aan die verplichtingen kan voldoen. Dit is deels een samenvatting, maar vloeit rechtstreeks voort uit de officiële doelstellingen van beide kaders.
Waarom veel organisaties beide zullen gebruiken
Veel organisaties zullen merken dat de AI-wet op zichzelf niet volstaat als intern bedrijfsmodel. Een wet kan weliswaar aangeven welke verplichtingen er gelden, maar zorgt niet automatisch voor de bestuursprocedures die nodig zijn om AI binnen de hele onderneming te beheren. Teams hebben nog steeds behoefte aan verantwoordelijkheid, beleid, beoordelingsmechanismen, training, leveranciersprocessen en toezicht. Daar komt ISO 42001 goed van pas.
Tegelijkertijd volstaat ISO 42001 op zichzelf niet voor organisaties die onder de EU-AI-wet vallen. Een managementsysteem kan de volwassenheid van het bestuur weliswaar verbeteren, maar het is geen vervanging voor inzicht in de daadwerkelijke wettelijke verplichtingen die gelden voor AI-systemen met een hoog risico, transparantieverplichtingen, verboden praktijken of AI-modellen voor algemeen gebruik.
Daarom is deze combinatie zo aantrekkelijk. De AI-wet vormt het fundament voor de nalevingsagenda. ISO 42001 biedt de organisatie een praktische structuur om die agenda functieoverschrijdend en op de lange termijn uit te voeren.
Belangrijkste conclusie
De EU-AI-wet en ISO 42001 moeten niet worden gezien als een keuze tussen het een of het ander. De ene regelt de wettelijke verplichtingen voor AI binnen het toepassingsgebied, terwijl de andere organisaties helpt bij het opzetten van een consistent, gedocumenteerd en herhaalbaar governancekader.
Voor veel organisaties is het het beste om beide normen te combineren. Begin met de AI-wet om vast te stellen welke verplichtingen van toepassing zijn. Gebruik vervolgens ISO 42001 om een bestuursstructuur op te zetten die de organisatie helpt om in de praktijk aan die verplichtingen te voldoen. Dat is waarschijnlijk de meest realistische aanpak voor teams die zowel AI-compliance als een werkbaar bedrijfsmodel voor AI-governance nastreven.
Webinar: AI-agenten in ISMS-werkzaamheden
Ontdek hoe AI-agenten de meest tijdrovende onderdelen van uw complianceproces kunnen versnellen, van het opzetten van de ISMS-basis tot risicobeheer, audits, vragenlijsten, documentatie en training – zonder dat dit ten koste gaat van controle, consistentie of controleerbaarheid.
