Direct naar inhoud
Praktisch

ISO 42001 vs EU AI Act: wanneer welk?

ISO/IEC 42001 is een internationale standaard voor AI-managementsystemen. EU AI Act is wetgeving. Ze vullen elkaar aan, maar zijn niet uitwisselbaar. Wanneer is ISO 42001-certificering interessant voor MKB, en wanneer is het overkill bovenop je AI Act-werk.

Jurgen Claassens·Founder, AuditAI··7 min lezen

ISO/IEC 42001 is sinds december 2023 de internationale standaard voor een AI Management System (AIMS) — een set processen, rollen en documenten dat een organisatie opzet om verantwoordelijk met AI om te gaan. Net als ISO 27001 voor informatiebeveiliging of ISO 9001 voor kwaliteit: vrijwillig in te voeren, certificeerbaar door een aangemelde instantie, internationaal erkend.

EU AI Act is iets fundamenteel anders: wetgeving met handhaafbare verplichtingen, vergelijkbaar met de AVG. Niet-certificeerbaar; wel boete-baar. Sinds 2 februari 2025 deels van kracht (art. 4 + 5), augustus 2026 voor de meeste hoog-risico-verplichtingen.

De vraag die we vaak krijgen: 'moet ik ISO 42001 doen om AI Act-compliant te zijn?' Antwoord: nee. 'Helpt ISO 42001 mijn AI Act-naleving?' Ja, substantieel. 'Moet ik certificeren?' Bijna altijd niet als MKB.

Wezenlijk verschil — wettelijk vs. organisatorisch

ISO 42001 vs EU AI Act — kernverschillen
AspectISO/IEC 42001EU AI Act
AardVrijwillige internationale standaardWetgeving (EU-verordening)
ToepassingsgebiedWereldwijd, voor elke organisatieAlle organisaties die AI inzetten in/voor de EU-markt
FocusHoe organiseer je AI verantwoord internSpecifieke verplichtingen per AI-systeem-categorie
SanctiesVerlies van certificaat; geen wettelijke boetesTot €35M of 7% omzet (afhankelijk van overtreding)
GranulariteitOrganisatie-breed managementsysteemPer AI-systeem (banned / hoog / beperkt / minimaal)
CertificeerbaarJa, door geaccrediteerde instantieNee — wel registratie van hoog-risico-systemen
BewijslastAudit door certificerende instantieOp verzoek van toezichthouder onderbouwen

Wat overlapt?

Beide instrumenten eisen vergelijkbare bouwstenen. Een ISO 42001-implementatie levert 70-80% van wat de AI Act ook vraagt:

  • AI-policy — beide eisen een organisatie-breed beleid (ISO 5.2 ≈ AI Act art. 4 + 26).
  • Risico-beoordeling per systeem — ISO 6.1.2 ≈ AI Act art. 9 (hoog-risico) + art. 27 (FRIA).
  • AI-inventaris / register — ISO 8.2 ≈ AI Act art. 26 lid 5.
  • Rollen en verantwoordelijkheden — ISO 5.3 ≈ AI Act art. 26 lid 2.
  • Training en bewustwording — ISO 7.2 ≈ AI Act art. 4.
  • Monitoring en metingen — ISO 9.1 ≈ AI Act art. 12 (logging) + art. 72 (post-market monitoring).
  • Incident-management — ISO 8.4 ≈ AI Act art. 73.

Wat NIET overlapt — let op

Drie gebieden waar ISO 42001 jou niet AI Act-compliant maakt:

  1. 1.Specifieke verboden praktijken (art. 5) — ISO 42001 heeft geen lijst van verboden AI-toepassingen. Je kunt ISO-gecertificeerd zijn en alsnog een art. 5-overtreding begaan.
  2. 2.FRIA-kennisgeving (art. 27 lid 3) — een ISO-FRIA-document is intern; de AI Act eist een kennisgeving naar de markttoezichtautoriteit. Niet ISO-vereist, wel wettelijk vereist.
  3. 3.Conformiteitsbeoordeling als aanbieder (art. 43) — als je hoog-risico AI op de markt brengt, moet je via art. 43 conformiteitsbeoordeling. Geen ISO-equivalent.

Wanneer is ISO 42001-certificering interessant?

Vier scenarios waarin het de moeite waard is:

1. Je verkoopt AI internationaal (buiten EU)

Klanten in UK, US, APAC vragen vaker om een ISO-certificaat dan om EU AI Act-compliance. Als je markt internationaal is, opent ISO deuren. Voor pure EU-spelers minder van waarde.

2. Je wint overheids-aanbestedingen

Sommige Nederlandse overheidsaanbestedingen vragen al expliciet naar ISO 42001 of een gelijkwaardige certificering. Vooral bij grote opdrachten (>€500k) wordt het een differentiator.

3. Je bent een AI-aanbieder, geen gebruiksverantwoordelijke

Als je organisatie AI bouwt en op de markt brengt (niet alleen inzet), is ISO 42001 een sterk signaal naar klanten dat je verantwoordelijk werkt. Voor pure gebruiksverantwoordelijken minder relevant.

4. Je hebt 50+ fte en meerdere AI-systemen

Bij grotere organisaties met 5+ hoog-risico-systemen wordt een formeel AI Management System praktisch zinvol als coordinatie-tool. Voor 5-50 fte met 2-10 tools is het overkill.

Realistische kosten ISO 42001-certificering

Voor een MKB-scale-up van 50-200 fte:

  • Implementatie-traject: €15.000-40.000 met externe consultant (3-6 maanden), of €5.000-15.000 met interne kracht + samples van consultant.
  • Certificering door aangemelde instantie: €5.000-15.000 voor stage 1 + stage 2 audit.
  • Onderhoud: €2.000-5.000/jaar voor surveillance audits + interne tijd.
  • Hercertificering: elke 3 jaar full audit, ~€10.000.

Vergelijk dat met de typische jaarlijkse kost van EU AI Act-naleving via een tool zoals AuditAI: €500-2.000 voor MKB. ISO is een orde van grootte duurder, en levert een internationaal certificaat — niet meer wettelijke compliance.

Werkbare aanpak voor MKB

Onze aanbeveling voor 5-50 fte MKB:

  1. 1.Begin met EU AI Act-compliance — dat is wettelijk verplicht. AuditAI of een vergelijkbare tool. Doel: audit-pack klaar, training rond, register bijgehouden.
  2. 2.Gebruik ISO 42001 als referentie-framework voor je interne organisatie — niet om te certificeren, wel om gestructureerd te werken (verantwoordelijkheden, processen, monitoring).
  3. 3.Overweeg certificering pas wanneer een grote internationale klant of overheidsaanbesteding er expliciet om vraagt, of bij 50+ fte / 5+ hoog-risico systemen.
  4. 4.Houd je documentatie ISO-compatibel — als je later certificering wil, scheelt dat 30-50% van het implementatie-werk.

Veelgestelde vragen

Levert ISO 42001 een korting op AI Act-boetes?
Nee, niet automatisch. Wel kan een toezichthouder een ISO-certificaat als onderbouwing zien dat je organisatie 'redelijke zorgvuldigheid' heeft uitgeoefend, wat invloed kan hebben op de boetehoogte. Het is geen vrijbrief, maar een verzachtende omstandigheid.
Welke andere ISO-standaarden zijn relevant voor AI?
Naast 42001 zijn relevant: ISO 27001 (informatiebeveiliging — vaak combineerbaar met 42001), ISO 23894 (AI risk management — meer technisch), ISO 24028 (AI trustworthiness), ISO 22989 (AI concepts en terminologie). Voor MKB is alleen 27001 vaak al een natuurlijke partner; de rest is voor specifieke contexten.
Hoe verhoudt ISO 42001 zich tot NEN 7510 (zorg)?
NEN 7510 is een Nederlandse zorginformatiebeveiliging-standaard, een uitbreiding op ISO 27001 voor de zorgsector. Geen direct AI-element, maar als je zorg-AI inzet en al NEN 7510-conform werkt, voeg je ISO 42001 logisch toe als laag erbovenop.
Kan een single-persoon-bedrijf ISO 42001 certificeren?
Theoretisch wel, praktisch niet zinvol. Het ISO-framework is gebouwd op rolverdeling, processen en interne audit-cycli. Voor een eenmansbedrijf is de overhead disproportioneel. Begin met EU AI Act-naleving en overweeg ISO als je doorgroeit.
Wij hebben ISO 27001 — kunnen we 42001 als uitbreiding doen?
Ja, en dat is de slimste route. Veel certificerende instanties bieden 'integrated audits' aan waarbij 27001 + 42001 in één traject worden meegenomen. Korter, goedkoper, en je hebt al de management-infrastructuur (beleid, RA, monitoring, audits) staan.

Verder lezen

Praktisch

Audit-pack: wat de toezichthouder écht wil zien

Een audit-pack is een gestructureerde set documenten die bewijst dat je AI-Act-compliant werkt. Wat hoort er minimaal in voor MKB, hoe leveren toezichthouders een audit-vraag uit, en welke valkuilen vermijd je.

Aan de slag

AI Act compliance-stappenplan voor Nederlands MKB (12 weken)

Een werkbaar 12-weken stappenplan voor MKB-organisaties die nog niets aan AI Act compliance hebben gedaan. Per week: wat doe je, wie heb je nodig, welk document staat aan het eind. Realistisch voor een 5-50 fte organisatie naast bestaand werk.

Volgende stap

Doe een gratis risicoscan voor je eigen AI-systeem

5 minuten, geen account, anoniem. Krijg direct je AI Act-categorie + de drie eerstvolgende acties op volgorde van urgentie.

Start gratis scan