Steeds meer organisaties kloppen bij ons aan met de vraag: hoe worden wij ISO 42001-gecertificeerd? De motivatie is helder: klanten vragen erom, de EU AI Act komt eraan, en het besef groeit dat AI-gebruik zonder governance een risico is. Maar tussen de intentie en een succesvol certificeringstraject zitten hardnekkige valkuilen. Dit zijn de zeven lessen die wij in de praktijk tegenkomen.
1. Je hebt meer AI in huis dan je denkt
De eerste stap in elk ISO 42001-traject is een AI-inventarisatie. En daar begint het al. De meeste organisaties denken bij AI aan hun eigen modellen of een ChatGPT-licentie. Maar de werkelijkheid is breder. Marketingtools met ingebouwde segmentatie, salesplatformen met lead scoring, HR-software met automatische CV-screening, en features van bestaande leveranciers die stilletjes AI-functionaliteit hebben toegevoegd. Dat is allemaal AI in de zin van de standaard.
Wat wij zien is dat het aanvalsoppervlak voor AI al veel groter is dan wat organisaties in beeld hebben. Zonder een volledige inventarisatie heeft de rest van het traject geen fundament. Wij raden aan om niet alleen IT te bevragen, maar ook de business, marketing, finance en HR. Daar zitten de verrassingen.
2. Risicoclassificatie vraagt om concrete taal
ISO 42001 vereist een risicobeoordeling voor AI-systemen. In de praktijk zien wij dat organisaties terugvallen op klassieke categorieën: hoog, midden, laag. Het probleem is dat bij AI-risico's alles al snel 'midden' wordt. Er is geen ankerpunt, geen gedeelde taal over wat een AI-risico concreet inhoudt.
De organisaties die hier het beste doorheen komen, kwantificeren hun risico's. Niet per se in euro's, maar in concrete scenario's. Wat gebeurt er als dit model een verkeerd besluit neemt? Wie wordt geraakt? Wat is de impact op klanten, op reputatie, op compliance? Door risico's tastbaar te maken, ontstaat er scherpte in de prioritering en krijgt het bestuur grip op waar de aandacht naartoe moet.
3. Te streng beleid creëert schaduw-AI
Een veelvoorkomend patroon: een organisatie stelt een strikt AI-beleid op om aan de standaard te voldoen, maar de praktijk loopt er direct omheen. Medewerkers gebruiken eigen accounts voor AI-tools, uploaden data naar externe diensten, en bouwen workarounds omdat het officiële beleid te rigide is. Dat fenomeen heet shadow AI, en het is voor auditors een serieus aandachtspunt.
Het probleem zit niet bij de medewerkers. Het zit bij beleid dat niet werkbaar is. De organisaties die ISO 42001 succesvol implementeren, betrekken de business bij het opstellen van beleid. Ze creëren bruikbare richtlijnen die adoptie mogelijk maken binnen de vastgestelde risicotolerantie, in plaats van een papieren verbod dat niemand naleeft.
4. De standaard vertelt wat, niet hoe
ISO 42001 schrijft voor dat je impact assessments moet uitvoeren, dat je een governance-structuur moet hebben, en dat je transparantie moet bieden over AI-besluitvorming. Maar de standaard vertelt niet welke vragen je moet stellen, hoe je een assessment scoped, of wat een auditor precies verwacht.
Dit is waar veel organisaties die het zelf proberen vastlopen. Ze besteden maanden aan het interpreteren van eisen zonder concreet resultaat. Onze ervaring is dat een pragmatische vertaling van de standaard naar de specifieke context van de organisatie het verschil maakt. Welke AI-systemen heb je, wat zijn de risico's in jouw sector, en wat is een proportionele maatregel? Die vertaalslag is essentieel.
5. Security adviseert, de business beslist
Een van de meest voorkomende governance-fouten die wij tegenkomen: de security-afdeling wordt eigenaar gemaakt van AI-risico's. Dat klinkt logisch, maar het werkt averechts. Als security risico's bezit, wordt alles een blokkerend advies. Elk nieuw AI-initiatief moet door een bottleneck, en de organisatie verliest snelheid.
Het model dat wij zien werken bij ISO 42001-trajecten is: security adviseert, de business beslist, en de business is eigenaar van de uitkomsten. Dat betekent dat lijnmanagers verantwoordelijkheid nemen voor de AI-systemen in hun domein, ondersteund door security- en compliance-expertise. Dit model sluit ook beter aan bij hoe ISO 42001 governance bedoelt: het moet geborgd zijn in de organisatie, niet geïsoleerd bij een stafafdeling.
6. Certificering is niet de eindstreep
Dit is misschien de belangrijkste les. Veel organisaties benaderen ISO 42001 als een project met een einddatum: het certificaat. Maar de realiteit is dat AI-governance een doorlopend proces is. Modellen worden bijgewerkt, leveranciers veranderen hun diensten, regelgeving verschuift, en nieuwe AI-toepassingen worden geïntroduceerd.
Wij zien dat de meeste programma's binnen zes maanden na certificering beginnen af te driften als er geen doorlopende monitoring is ingericht. Documentatie veroudert, nieuwe systemen worden niet beoordeeld, en het AIMS (AI Management System) wordt een papieren tijger. Certificering is het startpunt van governance, niet het eindpunt. Daarom adviseren wij altijd om monitoring en periodieke reviews vanaf dag één in te richten.
7. De business case is sterker dan je denkt
ISO 42001-certificering wordt vaak geframed als een compliance-verplichting. Maar de werkelijke waarde zit elders. Wat wij zien bij organisaties die gecertificeerd zijn: enterprise deals gaan sneller, security reviews bij prospects worden korter, en bij procurement-trajecten heb je direct antwoord op vragen over AI-governance.
In een markt waar klanten steeds vaker vragen om aantoonbare AI-governance, is certificering een concurrentievoordeel. Het reduceert niet alleen regelgevingsrisico, maar versnelt je go-to-market en versterkt het vertrouwen van klanten en partners.
Werkt jouw organisatie met AI en wil je grip krijgen op governance? Wij helpen bij het opzetten van een pragmatisch ISO 42001-traject, van inventarisatie tot certificering en doorlopende monitoring. Neem contact op voor een vrijblijvend gesprek.
Over de auteur
Partner | IT-auditor