Certificeringstraject
ISO 42001-certificering: Stage 1 en Stage 2
Certificering volgens ISO/IEC 42001 wordt toegekend door een geaccrediteerde certificeringsinstelling via een tweefasige audit. Het verschil tussen de twee fases begrijpen is wat een vlotte certificering scheidt van een pijnlijke — en het vertelt je precies wat een sjabloonkit wel en niet voor je kan doen.
Hoe de audit werkt
Documenten maken je Stage 1-klaar. Werking maakt je Stage 2-klaar.
Documentatie- & gereedheidsbeoordeling
De auditor controleert of het AIMS ontworpen, afgebakend en gedocumenteerd is: context en scope, AI-beleid, rollen en bevoegdheden, risicomethodologie, de Statement of Applicability en de kernprocedures. Dit is de fase die een vervolledigde toolkit is gebouwd om te doorstaan. Verwacht dat gereedheidsbevindingen gesloten worden vóór je verdergaat.
- Context- & scopeverklaring
- AI-beleid met goedkeuring door het topmanagement
- Risico- & impactmethodologie
- Statement of Applicability (alle ~38 Annex A-controls)
- Kernprocedures
Implementatie- & effectiviteitsaudit
De auditor stopt met het lezen van documenten en begint de realiteit te bemonsteren — bewijs dat het systeem echt werkt. Dat kan alleen ontstaan door het AIMS een periode te laten draaien, dus laat het draaien en sluit eerst de Stage 1-bevindingen.
- Vervolledigde SoA met een gemotiveerde beslissing over elke control
- Uitgevoerde AI-risicobeoordeling met goedgekeurde behandeling en aanvaarding van restrisico
- Minstens één impactbeoordeling van een AI-systeem
- Registraties dat geselecteerde controls echt draaien
- Minstens één interne audit met bevindingen
- Een gehouden directiebeoordeling
Na Stage 2 wordt de certificering onderhouden via jaarlijkse opvolgingsaudits en een hercertificeringscyclus van drie jaar.
De volgorde die werkt
De implementatievolgorde die auditors verwachten
Documentafhankelijkheden betekenen dat volgorde ertoe doet. Implementeer je buiten volgorde, dan herwerk je eerdere documenten wanneer latere verborgen aannames blootleggen. De bewezen volgorde:
- 1
Vervolledig de AIMS Context & Scope Statement — vóór al het andere. Ze verankert al het latere werk.
- 2
Bouw het AI System Register en vul de registers Interested Parties en Legal & Regulatory Obligations aan.
- 3
Pas de AI Risk, Impact & Control Methodology toe en leg risico's vast in het Risk & Control Register.
- 4
Vervolledig AI Impact Assessments voor systemen binnen scope met wezenlijk impactpotentieel.
- 5
Bouw de Statement of Applicability op over alle ~38 Annex A-controls, op basis van de risico- en impactresultaten.
- 6
Ontwikkel en keur het AI-beleid goed met handtekening van het topmanagement.
- 7
Implementeer operationele procedures en registers over controls voor levenscyclus, data, gebruik en derde partijen.
- 8
Stel het monitoring- en beoordelingskader op en begin live bewijs te genereren.
- 9
Voer een interne audit uit tegen de volledige eisen van de standaard.
- 10
Houd een directiebeoordeling met gedocumenteerde notulen en een actielog.
- 11
Behandel bevindingen en sluit corrigerende acties vóór de externe audit.
Waar auditors echt op letten
Conformiteit, implementatie, effectiviteit
Externe auditors testen drie dingen: voldoet je documentatie aan de standaard (conformiteit), wordt het gedocumenteerde proces echt gevolgd (implementatie), en behaalt het systeem zijn beoogde resultaten (effectiviteit). Papieren compliance zakt voor de tweede en derde test.
Hoe lang het duurt
Indicatieve doorlooptijden
Doorlooptijden hangen af van omvang en AI-voetafdruk; de AI-risico- en impactbeoordeling kost meestal de meeste tijd, en starten vanaf een kant-en-klare toolkit verkort dat aanzienlijk.
Kleine organisatie
~6–10 weken tot gereedheid
Middelgrote organisatie
~10–16 weken
Grote organisatie
~16–24 weken
Word snel Stage 1-klaar — werk dan door naar Stage 2
De toolkit levert de volledige documentenset (Stage 1). Voeg human-verified support toe om het systeem te laten draaien, of boek een interne audit om de Stage 2-gereedheid te testen voordat je certificeringsinstelling langskomt.