ISO 42001 gaat niet over AI. Het gaat erom dat je je beslissingen kunt verantwoorden.

AI-adoptie heeft in de meeste mid-market organisaties stilaan een kantelpunt bereikt, of dat nu gepland was of niet. AI blijft niet langer beperkt tot experimenten of afzonderlijke tools. Het zit vandaag ingebed in processen die output vormgeven, beslissingen versnellen en in sommige gevallen delen van professioneel oordeel vervangen.

Dat wordt bijzonder duidelijk in domeinen met een grote impact, zoals de gezondheidszorg, waar AI al wordt ingezet bij beslissingen rond patiëntenzorg. Wanneer zulke uitkomsten een invloed hebben op diagnose, prioritering of behandeltrajecten, gaat de vraag niet langer over efficiëntie, maar over verantwoordelijkheid.

Die verschuiving verandert het gesprek. De vraag is niet langer of AI wordt gebruikt. De vraag is of de resultaten achteraf kunnen worden uitgelegd en verdedigd.

Net daar lopen veel organisaties vandaag vast. Niet omdat het gebruik onverantwoord is, maar omdat het te weinig gestructureerd is. AI bevindt zich verspreid over afdelingen, ingebed in tools en routines, zonder duidelijke inventaris, zonder expliciet eigenaarschap en zonder consistente documentatie van hoe output wordt nagekeken of in vraag gesteld. Met andere woorden: operationeel werkt het, maar bij een toetsing door interne audit, regulatoren of klanten zou het onvoldoende standhouden.

Dit is geen AI-kwestie. Het is een governancekwestie.

ISO 42001: structuur in plaats van ambitie

ISO/IEC 42001 vult die leemte precies op het juiste niveau. De norm probeert technologie niet te reguleren. Ze schrijft niet voor hoe modellen moeten worden gebouwd of welke risico’s belangrijker zijn dan andere. Wat de norm wel doet, is veel eenvoudiger: ze definieert wat het betekent om AI op een gestructureerde, herhaalbare en auditeerbare manier te beheren.

Dat klinkt vertrouwd, en dat is het ook. De logica is dezelfde als die organisaties al toepassen in andere domeinen: scope bepalen, verantwoordelijkheden toewijzen, risico’s beoordelen, controles implementeren, resultaten opvolgen en continu verbeteren.

Wat ISO 42001 in essentie doet, is een duidelijke grens trekken. Zodra AI-resultaten beïnvloedt, wordt het onderdeel van het managementsysteem. Niet in principe, maar aantoonbaar.

Dat sluit ook aan bij de bredere richting van de EU AI Act. Die schrijft niet exact voor hoe organisaties AI intern moeten besturen, maar verwacht wel duidelijk dat risico’s worden begrepen, actief beheerd en aantoonbaar zijn wanneer er vragen over komen. ISO 42001 biedt een praktische manier om dat te organiseren.

De kloof wordt snel zichtbaar

In de praktijk wordt de kloof duidelijk wanneer je drie eenvoudige vragen probeert te beantwoorden:

• Waar wordt AI vandaag precies gebruikt, in concrete processen en niet alleen in tools?
• Wie is verantwoordelijk voor elke use case, los van de technische eigenaar?
• Wat werd vóór de ingebruikname beoordeeld, en welke controle blijft vandaag bestaan?

De meeste organisaties kunnen sommige van die vragen beantwoorden, maar zelden allemaal, en bijna nooit op een consistente manier.

Daarom is dit voor interne audit vaak een moeilijk thema. Er is niets stabiels of herhaalbaars om te testen. Elke use case wordt anders benaderd, documentatie is onvolledig en controles worden verondersteld in plaats van aangetoond.

ISO 42001 brengt geen nieuwe theorie, maar wel een manier om die antwoorden consistent en zichtbaar te maken. De norm dwingt organisaties om te evolueren van impliciet begrip naar expliciet bewijs.

Eén systeem, geen twee systemen

Het risico zit in hoe organisaties hiermee omgaan. De neiging is groot om AI-governance als een apart initiatief te behandelen. Een nieuw beleid, een nieuwe stuurgroep, een nieuwe rapporteringslaag.

Die aanpak leidt al snel tot versnippering en verlies van overzicht. Verschillende kaders, verschillende terminologie, verschillende audit trails. Het wordt moeilijker om het volledige plaatje te zien, niet eenvoudiger.

Precies dat probeert ISO 42001 te vermijden. Structureel is het geen losstaand systeem. De norm sluit aan bij bestaande managementsysteemnormen zoals ISO 27001. Dezelfde logica, dezelfde cycli, dezelfde structuur.

Net die afstemming maakt het werkbaar.

Als je al een ISMS hebt, hoef je niet iets volledig nieuws op te bouwen. Je breidt uit wat al werkt. Hetzelfde risicoregister kan AI-gerelateerde risico’s bevatten. Dezelfde interne auditcyclus kan AI-gerelateerde controles testen. Dezelfde managementreview kan AI-gerelateerde vaststellingen opnemen.

De verschuiving is subtiel, maar verandert de scope van governance. Je gaat van het beschermen van informatie naar ook het besturen van hoe systemen die informatie gebruiken en uitkomsten vormgeven.

Daar verschuift het gesprek vanzelf van intentie naar bewijs. In plaats van te vragen of AI verantwoord wordt gebruikt, vraag je waar die verantwoordelijkheid zichtbaar is in processen, controles en beslissingen. Niet wat de bedoeling is, maar wat je kunt aantonen.

Wanneer je het zo bekijkt, is de sprong minder groot dan ze lijkt. De meeste organisaties hebben al controles: reviews, goedkeuringen, validaties en ‘sanity checks’. Wat ontbreekt, is de expliciete link tussen die controles en het gebruik van AI, en de consistentie waarmee ze worden toegepast en gedocumenteerd.

Een beheersbaar probleem zodra er structuur is

ISO 42001 voegt geen complexiteit toe. De norm vermindert juist dubbelzinnigheid. Ze brengt structuur waar vandaag variatie zit, en creëert een gemeenschappelijke taal tussen operationele teams, management en audit. De echte waarde zit niet in de norm zelf, maar in wat ze organisaties verplicht te doen: zichtbaar maken waar AI wordt gebruikt, wie verantwoordelijk is en hoe uitkomsten worden gecontroleerd.

Zodra dat op zijn plaats staat, verandert de discussie. Het gaat niet langer over “hoe we AI moeten besturen”, maar over het toepassen van governancediscipline op iets dat de informele aanpak is ontgroeid. En dat is een veel beheersbaarder probleem.

Als dit vertrouwd aanvoelt, is dat meestal omdat het dat ook is. De meeste organisaties hoeven niet van nul te beginnen. Ze moeten zichtbaar, consistent en toetsbaar maken wat al bestaat. Net daar ondersteunen we klanten doorgaans: bestaande controles in kaart brengen, bepalen waar AI vandaag wordt gebruikt en beoordelen of dit standhoudt in een audit. Van daaruit gaat het meestal niet om transformatie, maar om het structureren en uitbreiden van wat er al is.