Regelgeving

ISO 42001 en de EU AI Act

De EU AI Act is 's werelds eerste alomvattende AI-wet. Ze legt wettelijke verplichtingen op; ISO/IEC 42001 geeft je het managementsysteem om eraan te voldoen en het te bewijzen. Deze pagina legt de huidige tijdlijn uit, wat er verandert voor hoog-risico-AI, en hoe een gecertificeerd AIMS je operationeel bewijs wordt.

Tijdlijn bijgewerkt in juli 2026 om de AI Act Digital Omnibus te weerspiegelen (definitieve goedkeuring door de Raad, 29 juni 2026).

Waarom het ertoe doet

De wet komt niet langer aan — ze wordt gefaseerd ingevoerd

AI kwam niet binnen via een strategisch project. Het sloop naar binnen via gratis proefversies, browserextensies en "laat me even iets proberen" — bij werving, krediet, support, coderen en analyse. De EU AI Act zet die ongecontroleerde voetafdruk om in een juridische blootstelling met echte boetes. ISO 42001 is hoe je AI-gebruik beheersbaar, uitlegbaar en aantoonbaar maakt voordat een toezichthouder, klant of auditor ernaar vraagt.

De data die ertoe doen

Toepassingstijdlijn van de EU AI Act

De Digital Omnibus (overeengekomen in mei 2026, definitief groen licht van de Raad op 29 juni 2026) stelde de hoog-risicodeadlines uit, terwijl de transparantie- en verbodsregels behouden — en in één geval versneld — bleven.

  1. Sinds feb 2025

    Verboden praktijken

    Verboden op de schadelijkste AI-toepassingen (bijv. social scoring, bepaalde biometrische praktijken) zijn van kracht.

  2. Sinds aug 2025

    AI voor algemene doeleinden (GPAI)

    Transparantie- en documentatieverplichtingen voor AI-modellen voor algemene doeleinden zijn van toepassing.

  3. 2 aug 2026

    Transparantie Artikel 50

    Plicht om AI-interactie kenbaar te maken en AI-gegenereerde inhoud te labelen. Ongewijzigd door de Omnibus.

  4. 2 dec 2026

    Nieuw verbod

    Verbod op AI-gegenereerd niet-consensueel intiem beeldmateriaal en CSAM wordt van kracht (nieuw onder de Omnibus).

  5. 2 dec 2027

    Hoog risico (Annex III, op zichzelf staand)

    Verplichtingen voor op zichzelf staande hoog-risicosystemen — werving, krediet, onderwijs, essentiële diensten — gelden nu hier, verschoven vanaf 2 aug 2026.

  6. 2 aug 2028

    Hoog risico (Annex I, in producten)

    Hoog-risico-AI ingebed in gereguleerde producten (machines, medische hulpmiddelen, enz.) geldt hier.

De data weerspiegelen de aangenomen Digital Omnibus. De wijzigingen van de wet treden in werking op de derde dag na publicatie in het Publicatieblad van de EU.

Lees het uitstel niet verkeerd

Meer tijd om te voldoen — niet minder te doen

De hoog-risicodeadline verschoof van augustus 2026 naar december 2027 omdat de geharmoniseerde standaarden niet op tijd klaar waren, niet omdat de verplichtingen kleiner werden. De eisen rond risicobeheer, documentatie, menselijk toezicht en monitoring zijn ongewijzigd. De organisaties die de extra aanloop gebruiken om een echt managementsysteem te bouwen, komen er vlot door; wie het leest als "een probleem voor volgend jaar" zal zich haasten tegen een vaste kalenderdatum.

De brug

Hoe ISO 42001 aansluit op de AI Act

Een goed geïmplementeerd AIMS is operationeel bewijs van precies de controls die de AI Act verwacht. De toolkit wordt geleverd met een EU AI Act-mappingblad zodat je elk stuk ISO 42001-werk kunt koppelen aan de verplichting die het invult.

Risicobeheersysteem

AI Act Art. 9 ↔ ISO 42001-methodologie en -register voor risico- en impactbeoordeling.

Datagovernance

AI Act Art. 10 ↔ Annex A.7 controls voor dataherkomst, -kwaliteit en bias.

Technische documentatie

AI Act Art. 11 & Annex IV ↔ levenscyclusdocumentatie, model cards, technisch pakket.

Registratie & logging

AI Act Art. 12 ↔ specificatie voor event-logging en monitoringregistraties.

Transparantie

AI Act Art. 13 & 50 ↔ gebruikersinformatie en AI-transparantieberichten.

Menselijk toezicht

AI Act Art. 14 ↔ plan voor menselijk toezicht en registraties van beoogd gebruik.

Nauwkeurigheid, robuustheid, beveiliging

AI Act Art. 15 ↔ verificatie & validatie, monitoring en incidentrespons.

Monitoring na de markt

AI Act Art. 72 ↔ AIMS-monitoringplan, KPI's en directiebeoordeling.

Vragen

AI Act & ISO 42001 — snelle antwoorden

Maakt ISO 42001-certificering me automatisch AI-Act-conform?+

Geen enkel certificaat maakt je juridisch conform, en ISO 42001 is nog geen formeel geharmoniseerde standaard onder de wet. Maar een gecertificeerd AIMS dekt de meeste managementsysteemverwachtingen van de wet en is de meest efficiënte, auditeerbare manier om ze aan te tonen. Het mappingblad toont waar ze op elkaar aansluiten en waar wet-specifieke plichten overblijven.

Ik gebruik alleen AI-tools — geldt de wet voor mij?+

Vaak wel. Implementeerders van hoog-risico-AI hebben ook verplichtingen (menselijk toezicht, monitoring, de instructies van de aanbieder volgen). ISO 42001 schaalt expliciet naar ontwikkelaars, aanbieders, implementeerders en aankopers.

Moet ik wachten tot december 2027?+

Nee. Een echt managementsysteem bouwen kost maanden, de verplichtingen zijn ongewijzigd, en de transparantie van Artikel 50 plus de GPAI-regels gelden al. Nu starten maakt van een deadline een rustige checklist.

Maak van AI Act-verplichtingen een systeem dat je kunt bewijzen

De toolkit bevat het EU AI Act-mappingblad plus elk beleid, register en beoordelingssjabloon dat je nodig hebt voor een auditeerbaar AIMS.