AI Governance

ISO 42001 is nu een inkoopvereiste. Is jouw AI-programma er klaar voor?

ISO/IEC 42001, de eerste certificeerbare norm ter wereld voor een AI-managementsysteem, is nu een inkoopvereiste bij 72% van de zakelijke kopers. De norm dekt 70% van de documentatie voor hoogrisicosystemen onder de EU AI Act en staat naast SOC 2 en ISO 27001 in leveranciersbeoordelingen. Dit is wat dat in de praktijk betekent.

Door Leon Soliman · 2026-06-23 · 2 min leestijd

Wat is ISO 42001 en waarom doet het er nu toe?

ISO/IEC 42001:2023 is de eerste internationale norm ter wereld voor een AI-managementsysteem. Gepubliceerd in december 2023, biedt het organisaties een gestructureerd kader voor het besturen van AI-ontwikkeling, -uitrol en doorlopend gebruik. De norm is certificeerbaar, wat betekent dat een onafhankelijke instantie je praktijken toetst aan de norm en een certificaat afgeeft dat derden kunnen verifiëren.

Tegen 2026 is de certificeringsmarkt in zijn eerste echte groeigolf beland. Grote certificeringsinstanties hebben hun auditdiensten operationeel gemaakt, en toonaangevende technologieleveranciers hebben certificering verworven. Nog belangrijker is dat de kopers die met die leveranciers werken, het zijn gaan eisen. 72 procent van de zakelijke kopers toetst nu op ISO 42001 voordat de eerste RFP-ronde begint. De norm is verschoven van vooruitstrevend naar verwacht.

De verbinding met de EU AI Act

ISO 42001 is onafhankelijk van de EU AI Act ontworpen, maar de twee sluiten in de praktijk nauw op elkaar aan. Voor organisaties die onder de hoogrisicoverplichtingen van de AI Act vallen, die op het oorspronkelijke tijdpad blijven staan tot in 2027 en 2028, dekt certificering volgens ISO 42001 ongeveer 70 procent van de vereiste documentatie. Dit maakt het de snelste geloofwaardige weg om conformiteit aan te tonen, veel sneller dan het vanaf nul opbouwen van een eigen documentatiekader.

Nu de transparantieverplichtingen van de EU AI Act nog steeds gelden vanaf augustus 2026, en de bredere hoogrisicovereisten in de daaropvolgende jaren komen, bouwen organisaties die nu ISO 42001 nastreven de governance-infrastructuur op die zowel aan inkoopvereisten als aan regelgevende naleving voldoet, in een enkele investering.

Wat vereist certificering werkelijk?

ISO 42001 volgt dezelfde structuur op hoog niveau als ISO 27001 en andere normen voor managementsystemen. Organisaties moeten een AI-managementsysteem opzetten: hun AI-toepassingen en de doelstellingen daarachter documenteren, AI-systemen classificeren op risico, controles definiëren voor ontwikkeling, uitrol en monitoring, en aantonen dat die controles in de praktijk werken. De kosten van certificering variëren van ongeveer 85.000 dollar tot meer dan 650.000 dollar in het eerste jaar, afhankelijk van de omvang en complexiteit van de organisatie, met ruwweg 30 tot 50 procent besparing voor organisaties die al ISO 27001 bezitten.

Voor organisaties die nog niet zijn begonnen, is de boodschap van de inkoopmarkt duidelijk: de norm is nu een poort, geen bonus. De kopers die het eisen, zullen niet wachten tot jij de capaciteit opbouwt nadat ze je concurrenten die het wel hebben al op de shortlist hebben gezet.

Lees hierna: De deadlines van de EU AI Act zijn net verschoven. Is dat goed nieuws of een valstrik? · De governancekloof bij AI-agents: waarom snelle uitrol de aansprakelijkheid van morgen opbouwt

Veelgestelde vragen

Vervangt ISO 42001 de EU AI Act?

Nee. ISO 42001 is een vrijwillige norm; de EU AI Act is wet. Certificering volgens ISO 42001 dekt echter ongeveer 70% van de documentatie die vereist is voor naleving van hoogrisicosystemen onder de EU AI Act, waardoor het een praktische en efficiënte weg is naar het voldoen aan de wettelijke vereisten. Organisaties die certificering nastreven, bouwen de governance-infrastructuur op die beide doelen dient.

Wordt ISO 42001 werkelijk een standaard inkoopvereiste?

Ja. In 2026 toetst 72% van de zakelijke kopers op ISO 42001 voordat de eerste RFP-ronde begint. KPMG, Microsoft en Synthesia behoren tot de vroeg gecertificeerde organisaties. Inkoopteams verwijzen nu naar ISO 42001 naast SOC 2 en ISO 27001 in leveranciersbeoordelingen, wat het duidelijkste signaal is dat de norm is verschoven van optioneel naar verwacht.

ISO 42001 is niet het soort certificering dat je nastreeft om een vakje af te vinken. Het is een gestructureerd proces dat een organisatie dwingt om helder te kijken naar elk AI-systeem dat ze draait, elk risico dat ze aanvaardt en elke controle waarop ze steunt. De bedrijven die het vroeg nastreven, zullen die helderheid hebben. Wie wacht, streeft het na onder inkoopdruk, op een krapper tijdpad, met minder ruimte om het goed te doen.

AI AIGovernance Compliance ISO42001 EUAIAct RiskManagement EnterpriseAI

Meer uit het Servola Journal

AI Governance

De deadlines van de EU AI Act zijn net verschoven. Is dat goed nieuws of een valstrik?

2026-06-23 · 2 min leestijd

Lees het artikel →

AI Governance

De governancekloof bij AI-agents: waarom snelle uitrol de aansprakelijkheid van morgen opbouwt

2026-06-23 · 2 min leestijd

Lees het artikel →

AI Governance

Is uw bedrijf klaar voor de Europese AI-verordening?

2026-06-21 · 2 min leestijd

Lees het artikel →

Servola

Servola helpt principalen, family offices en serieuze bedrijven te begrijpen wat ISO 42001 van hen vraagt en de governance op te bouwen om het met vertrouwen na te streven, in het Duits en het Engels. Vraag een vertrouwelijke kennismaking aan op servola.de/contact/.

Vraag een vertrouwelijk gesprek aan Over Servola →

Servola is technologisch advies voor een klein aantal families en family offices. Wanneer een beslissing niet kan worden gedelegeerd, zitten wij aan uw kant van de tafel.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle artikelen