Verantwoord innoveren bij overheidsorganisaties: toetsbare eisen voor AI als basis voor interne beheersing
In onze vorige blog stonden we stil bij de EU AI-verordening en wat daarbij allemaal komt kijken. In deze blog gaan we dieper in op de vraag hoe organisaties op aantoonbare wijze kunnen voldoen aan de eisen uit deze verordening, met behulp van de internationale standaarden zoals bijvoorbeeld ISO 9001, ISO 27001 en ISO 42001 voor verantwoord AI management. Dergelijke normenkaders bieden concrete handvaten voor organisatie om eisen te stellen aan (onder meer) een veilige, rechtmatig en ethisch verantwoord gebruik van generatieve AI. Daarbij is het ook van belang om nadrukkelijk de relevante verplichtingen uit de EU AI-verordening, de NIS2, de GDPR/AVG en de BIO (Baseline Informatiebeveiliging Overheid), straks Cyberbeveiligingswet binnen perspectief te plaatsen.
ISO 42001 als bouwsteen voor het AIMS?
De ISO/IEC 42001: 2023 standaard is de eerste internationale norm die richting geeft aan het vormgeven van een AI Management System (AIMS). De opbouw volgt dezelfde structuur als andere bekende ISO-normen, zoals ISO 27001 (ISMS) en ISO 9001 (KMS), en is daarom ook gebaseerd op de Plan-Do-Check-Act (PDCA)-cyclus. De norm helpt organisaties om beleidsmatig sturing te geven aan AI, risico’s in kaart te brengen en passende beheersmaatregelen te treffen. Daarnaast ondersteunt de norm het vastleggen van rollen en verantwoordelijkheden, en het structureel borgen van transparantie, monitoring en verantwoording. ISO 42001 is generiek, dus onafhankelijk ten aanzien van branche specifieke of sectorale toepassing. Vanwege de gelijke opzet en structuur met andere ISO-normen biedt ook deze norm ruimte voor aansluiting bij bestaande aanpalende governancekaders, zoals privacy- of informatiebeveiligingsbeleid.
Hoe helpt ISO 42001 bij het naleven van de EU AI-verordening?
De ISO 42001 is een internationale standaard en dus niet wettelijk verplicht. Het is een voortschrijvende set toetsbare eisen waarin je veel van de nalevingsverplichtingen uit de EU AI-verordening kunt herkennen. De norm geeft richting aan hoe het vastleggen van beleid, rollen, processen en maatregelen kan worden georganiseerd. Een zeer concrete relatie is terug te vinden in hoe AI-geletterdheid binnen de organisatie kan worden vormgegeven. Dit is een directe verplichting uit de EU/AI Act. Daarnaast gaat de ISO 42001 nader in op het classificeren van AI-systemen, het inrichten van risicobeheer en het borgen van de kwaliteit van gegevensbronnen. Ook aspecten zoals nauwkeurigheid, robuustheid en cyberbeveiliging worden in de norm meegenomen. Er is dus sprake van gedeeltelijke overlap, maar vooral van een belangrijke aanvulling op bestaande beheersingsopgaven op het gebied van privacy, informatiebeveiliging en cybersecurity. ISO 42001 biedt bij AI-systemen met een hoog risico ondersteuning bij het uitvoeren van impactbeoordelingen, het inrichten van menselijk toezicht en het opstellen van procedures voor monitoring, logging en incidentbeheer.
ISO 42001 is daarmee een essentiële bouwsteen – en mogelijk zelfs de hoeksteen – voor overheidsorganisaties die streven naar een gestructureerd beheersingsproces. Het biedt houvast om risico’s gedurende de volledige levenscyclus van AI-systemen op systematische wijze te beheersen. Dit vormt niet alleen de basis voor compliance, maar versterkt ook het vertrouwen van burgers, collega’s, bestuur en toezichthouders.
Waarom een managementsysteem voor AI (AIMS)?
ISO 42001 vormt weliswaar de hoeksteen van het AIMS, maar daarmee is het geheel nog niet compleet. De EU AI-verordening stelt strenge eisen aan het gebruik van AI, die verder reiken dan alleen de technische aspecten. Ook beleid, toezicht, risicobeoordeling, logging, transparantie, databeheer en de bescherming van fundamentele mensenrechten vallen binnen de reikwijdte van deze regelgeving.
In de overheidsbrede handleiding van het ministerie van BZK (januari 2025) is bijvoorbeeld terug te lezen dat de Nederlandse overheid een duidelijke voorbeeldfunctie moet innemen als het gaat om de verantwoorde en veilige inzet van opkomende technologieën zoals generatieve AI. Dat vraagt om een robuuste aanpak gericht op continue verbetering, die overheidsorganisaties ondersteunt bij het toepassen van AI op een manier die recht doet aan wet- en regelgeving, publieke waarden en maatschappelijke verwachtingen.
Juist omdat kunstmatige intelligentie zich razendsnel ontwikkelt, en vaak domein overstijgend werkt, is een losse maatregel of technische oplossing niet voldoende. Wat nodig is, is een structurele en systematische aanpak waarin AI-systemen integraal worden beheerst, zoals dat ook geldt voor informatiebeveiliging en privacy. Precies daarvoor is een AIMS bedoeld en vormt de ISO 42001 in zekere zin de hoeksteen van het AIMS.
Meer weten?
Key2Control helpt al meer dan 10 jaar overheidsorganisaties om niet alleen aan wet- en regelgeving te voldoen, maar ook uiteenlopende interne beheersingsvraagstukken slim te organiseren. AI is hét interne beheersingsvraagstuk voor de komende jaren. Wil je meer weten over ISO 42001? Of heb je vragen over AI binnen jouw organisatie? Neem dan gerust contact met ons op. Wij gaan graag met je in gesprek.