Certificeringstraject

ISO 42001-certificering: Stage 1 en Stage 2

Certificering volgens ISO/IEC 42001 wordt toegekend door een geaccrediteerde certificeringsinstelling via een tweefasige audit. Het verschil tussen de twee fases begrijpen is wat een vlotte certificering scheidt van een pijnlijke — en het vertelt je precies wat een sjabloonkit wel en niet voor je kan doen.

Hoe de audit werkt

Documenten maken je Stage 1-klaar. Werking maakt je Stage 2-klaar.

Stage 1

Documentatie- & gereedheidsbeoordeling

De auditor controleert of het AIMS ontworpen, afgebakend en gedocumenteerd is: context en scope, AI-beleid, rollen en bevoegdheden, risicomethodologie, de Statement of Applicability en de kernprocedures. Dit is de fase die een vervolledigde toolkit is gebouwd om te doorstaan. Verwacht dat gereedheidsbevindingen gesloten worden vóór je verdergaat.

  • Context- & scopeverklaring
  • AI-beleid met goedkeuring door het topmanagement
  • Risico- & impactmethodologie
  • Statement of Applicability (alle ~38 Annex A-controls)
  • Kernprocedures
Stage 2

Implementatie- & effectiviteitsaudit

De auditor stopt met het lezen van documenten en begint de realiteit te bemonsteren — bewijs dat het systeem echt werkt. Dat kan alleen ontstaan door het AIMS een periode te laten draaien, dus laat het draaien en sluit eerst de Stage 1-bevindingen.

  • Vervolledigde SoA met een gemotiveerde beslissing over elke control
  • Uitgevoerde AI-risicobeoordeling met goedgekeurde behandeling en aanvaarding van restrisico
  • Minstens één impactbeoordeling van een AI-systeem
  • Registraties dat geselecteerde controls echt draaien
  • Minstens één interne audit met bevindingen
  • Een gehouden directiebeoordeling

Na Stage 2 wordt de certificering onderhouden via jaarlijkse opvolgingsaudits en een hercertificeringscyclus van drie jaar.

De volgorde die werkt

De implementatievolgorde die auditors verwachten

Documentafhankelijkheden betekenen dat volgorde ertoe doet. Implementeer je buiten volgorde, dan herwerk je eerdere documenten wanneer latere verborgen aannames blootleggen. De bewezen volgorde:

  1. 1

    Vervolledig de AIMS Context & Scope Statement — vóór al het andere. Ze verankert al het latere werk.

  2. 2

    Bouw het AI System Register en vul de registers Interested Parties en Legal & Regulatory Obligations aan.

  3. 3

    Pas de AI Risk, Impact & Control Methodology toe en leg risico's vast in het Risk & Control Register.

  4. 4

    Vervolledig AI Impact Assessments voor systemen binnen scope met wezenlijk impactpotentieel.

  5. 5

    Bouw de Statement of Applicability op over alle ~38 Annex A-controls, op basis van de risico- en impactresultaten.

  6. 6

    Ontwikkel en keur het AI-beleid goed met handtekening van het topmanagement.

  7. 7

    Implementeer operationele procedures en registers over controls voor levenscyclus, data, gebruik en derde partijen.

  8. 8

    Stel het monitoring- en beoordelingskader op en begin live bewijs te genereren.

  9. 9

    Voer een interne audit uit tegen de volledige eisen van de standaard.

  10. 10

    Houd een directiebeoordeling met gedocumenteerde notulen en een actielog.

  11. 11

    Behandel bevindingen en sluit corrigerende acties vóór de externe audit.

Waar auditors echt op letten

Conformiteit, implementatie, effectiviteit

Externe auditors testen drie dingen: voldoet je documentatie aan de standaard (conformiteit), wordt het gedocumenteerde proces echt gevolgd (implementatie), en behaalt het systeem zijn beoogde resultaten (effectiviteit). Papieren compliance zakt voor de tweede en derde test.

De meest onderzochte documenten in een typische Stage 2-audit: de Statement of Applicability, het AI System Register, het AI Risk Register, het interne-auditrapport, de notulen van de directiebeoordeling en het CAPA-register. Die vertellen de auditor of het AIMS echt is of louter voor de show.

Hoe lang het duurt

Indicatieve doorlooptijden

Doorlooptijden hangen af van omvang en AI-voetafdruk; de AI-risico- en impactbeoordeling kost meestal de meeste tijd, en starten vanaf een kant-en-klare toolkit verkort dat aanzienlijk.

Kleine organisatie

~6–10 weken tot gereedheid

Middelgrote organisatie

~10–16 weken

Grote organisatie

~16–24 weken

Word snel Stage 1-klaar — werk dan door naar Stage 2

De toolkit levert de volledige documentenset (Stage 1). Voeg human-verified support toe om het systeem te laten draaien, of boek een interne audit om de Stage 2-gereedheid te testen voordat je certificeringsinstelling langskomt.