Standaardvergelijking
ISO 42001 vs ISO 27001 — en waar ISO 9001 past
ISO 27001 beschermt informatie. ISO 42001 stuurt artificiële intelligentie. Ze delen dezelfde managementsysteemstructuur, dus ze integreren — maar ze beantwoorden verschillende vragen. Deze pagina legt het verschil uit, de overlap, en hoe je ze samen runt zonder dubbel werk.
De korte versie
- ISO 27001 beveiligt informatie (vertrouwelijkheid, integriteit, beschikbaarheid). ISO 42001 stuurt hoe AI verantwoord wordt ontwikkeld, ingezet en gebruikt.
- Beide volgen de Annex SL / Harmonized Structure — dezelfde clausules 4–10, dezelfde auditlogica — zodat documentatie, interne audit en directiebeoordeling gedeeld kunnen worden.
- ISO 42001 voegt concepten toe die 27001 niet heeft: AI-impactbeoordeling, de AI-systeemlevenscyclus, dataherkomst en bias, en governance van AI van derden.
- Als je al ISO 27001 hebt, kun je ISO 42001 eraan koppelen en merkbaar sneller auditklaar zijn.
Naast elkaar
Wat elke standaard echt stuurt
| ISO/IEC 27001 | ISO/IEC 42001 | |
|---|---|---|
| Primair object | Informatiebeveiliging | AI-beheer (verantwoorde AI) |
| Kernvraag | Is onze informatie beschermd? | Wordt onze AI verantwoord ontwikkeld en gebruikt, en kunnen we het bewijzen? |
| Centraal register | Risicobeoordeling + Statement of Applicability (Annex A, 93 controls) | AI-risico + impactbeoordeling + SoA (Annex A, ~38 controls) |
| Onderscheidende eis | Vertrouwelijkheid, integriteit, beschikbaarheid van assets | AI-impact op individuen, groepen en samenleving; bias en eerlijkheid |
| Reikwijdte levenscyclus | Informatie-assets en -processen | Volledige AI-levenscyclus: concept → data → bouw → validatie → uitrol → monitoring → buitengebruikstelling |
| Derde partijen | Clausules informatiebeveiliging voor leveranciers | AI-risico van derden: foundation-modellen, API's, datasets, verantwoordelijkheidsmatrix |
| Structuur | Annex SL / HLS | Annex SL / HLS (dezelfde 7 clausules 4–10) |
| Certificering | Geaccrediteerde instelling, Stage 1 + Stage 2, cyclus van 3 jaar | Geaccrediteerde instelling, Stage 1 + Stage 2, cyclus van 3 jaar |
De gedeelde ruggengraat
Waarom de twee vlot integreren
Beide standaarden gebruiken dezelfde high-level structuur die ze erven van Annex SL. Dat betekent dat de machinerie van het managementsysteem echt herbruikbaar is:
Context & belanghebbenden
Eén contextanalyse en stakeholderregister kan beide systemen bedienen, met AI-specifieke partijen (betrokkenen, getroffen groepen) toegevoegd voor ISO 42001.
Leiderschap & beleid
Topmanagementbetrokkenheid, rollen en een beleidskader bestaan al onder 27001; ISO 42001 voegt een AI-beleid toe naast het beveiligingsbeleid.
Risicomethodologie
Het risicoproces is vertrouwd; ISO 42001 breidt het uit met impactbeoordeling en AI-specifieke risicocategorieën (bias, drift, misbruik, maatschappelijk effect).
Interne audit & directiebeoordeling
Eén auditprogramma en één ritme voor directiebeoordeling kan beide systemen dekken, met aparte toepasselijkheid en bewijs.
Gedocumenteerde informatie
Dezelfde documentbeheerprocedure, hetzelfde register en bewaarschema sturen beide sets records.
Verbetering
Non-conformiteit, corrigerende actie en continue verbetering lopen door één gedeeld proces.
Waar ISO 42001 verder gaat
De vier dingen die 27001 niet vraagt
AI-impactbeoordeling
27001 vraagt wat er kan misgaan voor de organisatie. 42001 vraagt ook wie schade oploopt — effecten op individuen, groepen en de samenleving, inclusief indirecte en onevenredige effecten.
De AI-systeemlevenscyclus
Annex A.6 stuurt elke fase van concept en dataverwerving tot validatie, uitrol, wijziging en buitengebruikstelling, met gates en bewijs bij elke stap.
Datagovernance voor AI
Gedocumenteerde herkomst, kwaliteitsbeoordeling en bias-/eerlijkheidsevaluatie van trainingsdata — voordat een model in productie gaat.
AI-risico van derden
Foundation-modellen, API's en datasets die je niet zelf bouwde, creëren toch governanceverplichtingen; 42001 vereist een due-diligence- en verantwoordelijkheidstoewijzingsproces.
En ISO 9001?
Kwaliteitsmanagement vs AI-governance
ISO 9001 stuurt kwaliteitsmanagement — consistente processen die voldoen aan klant- en regelgevingseisen. Ze overlapt met ISO 42001 op ontwerpcontrols, klanteisen en verbetering, maar zegt niets over AI-specifiek risico, bias of modelgovernance. Organisaties die 9001 draaien, kunnen hun ontwerp- en verbeterprocessen afstemmen met het AIMS; wie het niet heeft, heeft 9001 niet eerst nodig. ISO 42001 staat op zichzelf en integreert met welke managementsystemen je ook al draait.
Al ISO 27001? Koppel ISO 42001 eraan zonder opnieuw te beginnen.
De toolkit is gebouwd op dezelfde Harmonized Structure, met een AIMS Manual die precies in kaart brengt waar AI-governance je bestaande beveiligingscontrols hergebruikt en waar ze nieuwe toevoegt. Bereik sneller Stage 1-gereedheid.