EU AI-verordening en ISO 42001: aanvullend of overbodig voor het MKB?

AI-verordening ISO 42001 — die combinatie duikt steeds vaker op in compliance-gesprekken. Terecht, want veel MKB-bedrijven krijgen de vraag van hun accountant, hun moederbedrijf, of hun klant: "Heb je al ISO 42001?" Alsof dat dezelfde vraag is als "Voldoe je aan de AI-verordening?"

Dat is het niet. En dat verschil heeft praktische gevolgen voor waar jij je geld en tijd in steekt.

# Wat regelt de EU AI-verordening eigenlijk?

De EU AI-verordening is wetgeving. Dat betekent: verplicht, afdwingbaar, en bij overtreding riskeer je boetes die kunnen oplopen tot 35 miljoen euro of 7% van je wereldwijde jaaromzet. Geen vrijwillige keuze.

De verordening werkt met risicocategorieën. Voor de meeste MKB-bedrijven die AI gebruiken (deployers in de verordening-taal) zijn vooral Artikel 26 en Artikel 4 relevant. Artikel 26 legt je als deployer verplichtingen op bij hoog-risico AI: je moet technische documentatie bewaren, menselijk toezicht borgen, en medewerkers informeren. Artikel 4 verplicht je om iedereen die met AI werkt voldoende AI-geletterdheid bij te brengen. Dat geldt voor nagenoeg elk bedrijf dat AI-tools gebruikt, ongeacht het risico.

De verordening is geen managementsysteem. Er staat niet in hoe je interne processen organiseert, hoe je een AI-beleid opstelt, of hoe je een risicobeoordeling documenteert. Ze zegt wat je moet doen, niet hoe.

# Wat doet ISO 42001 dan wel?

ISO 42001 is een managementsysteemnorm. Gepubliceerd in december 2023, en gemodelleerd naar ISO 27001 (informatiebeveiliging) en ISO 9001 (kwaliteit). Het geeft je een raamwerk voor hoe je AI-risicobeheer organiseert: beleid, verantwoordelijkheden, processen, audits, continue verbetering.

Certificering is vrijwillig. Geen overheid die je verplicht een ISO 42001-certificaat te halen. Geen boete als je het niet doet.

Wat ISO 42001 sterk maakt: het dwingt je na te denken over je interne structuur. Wie is verantwoordelijk voor welke AI-beslissing? Hoe documenteer je dat? Hoe weet je over een jaar nog wat je nu hebt beslist en waarom?

Wat het niet doet: het vervangt de juridische verplichtingen uit de AI-verordening niet. ISO 42001 kent geen artikelen over verboden AI-toepassingen (Artikel 5), geen vereisten voor grondrechten-impactbeoordelingen (FRIA), en geen meldplicht bij incidenten richting de toezichthouder. Die verplichtingen staan in de verordening, nergens anders.

# De kernvraag: vervangen of aanvullen?

Kijk, ISO 42001 kan de EU AI-verordening nooit vervangen. Dat is geen mening — dat is simpelweg hoe wetgeving werkt. Een norm is geen wet. Zelfs als je ISO 42001-gecertificeerd bent, voldoe je daarmee niet automatisch aan de verordening.

Maar: ze kunnen elkaar goed aanvullen. Hier zit de nuance.

De AI-verordening zegt dat je als deployer van hoog-risico AI menselijk toezicht moet organiseren (Artikel 26, lid 1). Ze zegt niet hoe je dat procedureel vastlegt. ISO 42001 geeft je precies die procedurele ruggengraat. De norm vraagt om gedocumenteerde beleidslijnen, risicobeoordelingen, en interne audits. Daarmee heb je een bewijsbaar systeem als de toezichthouder bij je aanklopt.

Een andere manier om het te zien: de verordening is de checklist van wat je moet kunnen aantonen. ISO 42001 is het managementsysteem waarmee je die aantoning organiseert.

# Wanneer is ISO 42001 zinvol voor het MKB?

Eerlijk gezegd: niet altijd. Een bedrijf van 30 medewerkers dat een HR-chatbot inzet voor FAQ-vragen heeft geen ISO 42001 nodig om aan de verordening te voldoen. De overhead van een volwaardige managementsysteemnorm is dan disproportioneel.

ISO 42001 wordt interessant als:

Je hoog-risico AI gebruikt. Denk aan recruitment-tools die cv's automatisch rangschikken, kredietbeoordeling, of prestatiemonitoring van medewerkers. Bijlage III van de AI-verordening somt de hoog-risico categorieën op. Als je daar in zit, heb je documentatie en governance nodig. ISO 42001 helpt je die structuur te bouwen.

Je klanten of aanbestedende partijen het vragen. Grote opdrachtgevers — overheden, multinationals — beginnen ISO 42001 op te nemen in contractvereisten. Niet omdat ze jou willen helpen, maar omdat ze zelf moeten kunnen aantonen dat hun supply chain op orde is.

Je zelf AI-systemen ontwikkelt. Als je als MKB ook provider bent (je levert AI aan andere bedrijven), gelden er zwaardere verplichtingen. ISO 42001 is dan een logische basislijn.

Je ISO 27001 al hebt. De normen overlappen structureel. Veel van de vereiste documentatie, interne audits, en managementreviews zijn identiek van opzet. De extra inspanning om ISO 42001 toe te voegen is dan relatief klein.

# Wanneer dan niet?

Als je alleen laag-risico AI gebruikt — dat is de overgrote meerderheid van het MKB — dan is de verordening relatief licht. Je hebt een AI-geletterdheidsplan nodig (Artikel 4), transparantie richting gebruikers als je AI-gegenereerde content inzet (Artikel 50), en een intern beleid over welke AI-toepassingen je wel en niet gebruikt.

Dat kun je documenteren zonder een volwaardig ISO-managementsysteem. Een goed bijgehouden beleidsnotitie, een register van je AI-tools, en een training voor medewerkers doen het werk. ISO 42001 certificeren kost je al snel meerdere maanden voorbereiding en duizenden euro's aan audit- en certificeringskosten. Daar koop je niet veel compliance voor terug als je risicoprofiel laag is.

# Praktisch stappenplan: combineren of niet?

Stap 1: Breng je AI-tools in kaart. Welke systemen gebruik je, en welke besluiten nemen die mede? Dit is je basisinventarisatie.

Stap 2: Toets aan Bijlage III. Gebruikt een van je systemen automatische besluitvorming op gebieden als HR, krediet, of toegang tot diensten? Dan zit je mogelijk in hoog-risico.

Stap 3: Bepaal je rol. Ben je alleen deployer, of lever je ook AI aan anderen? Deployers hebben lichtere verplichtingen dan providers.

Stap 4: Check je bestaande certificeringen. Heb je al ISO 27001, ISO 9001, of NEN 7510? Dan is de drempel naar ISO 42001 lager.

Stap 5: Beslissen. Laag-risico profiel, geen contractuele druk, geen bestaande ISO-structuur? Focus op verordening-compliance, sla ISO 42001 over. Hoog-risico gebruik, klantdruk, of bestaande normen? Combineer ze, maar begin met de verordening als basis.

De volgorde is daarbij cruciaal. Zorg eerst dat je de juridische verplichtingen begrijpt en inricht. ISO 42001 is daarna een handige structuur, niet een vervanging van die eerste stap.

# Eén ding dat je vandaag kunt doen

De meeste compliance-trajecten stranden niet bij gebrek aan budget of kennis. Ze stranden omdat niemand weet waar te beginnen. Het antwoord is altijd hetzelfde: begin met weten wat je hebt.

Maak een lijst van de AI-tools die je organisatie gebruikt. Schrijf er bij welke beslissingen ze ondersteunen of nemen. Dat document — hoe ruw ook — is het startpunt van alles: je verordening-compliance, je FRIA, en als je er later voor kiest, ook je ISO 42001-traject.

Wil je weten waar je nu staat? Bij Khairos AI Comply doe je in twee minuten een eerste compliance-check. Geen verkoopgesprek, gewoon een helder startpunt.