ISO 42001 & de EU AI Act: de AI-compliance tijdbom
AI Governance & ISO 42001
Het komt op mijn bureau alsof het echt werk is. Een net document. Het juiste logo. De juiste koppen. De juiste woorden — “risicogebaseerde aanpak”, “levenscyclus van het AI-systeem”, “impactbeoordeling”. En de vraag eronder: “Kun je dit even reviewen?”
Dus ik begin te lezen. En binnen drie alinea’s weet ik het al. Dit is niet doordacht. Dit is gegenereerd. Eén prompt — misschien twee. “Schrijf mij een AI-beleid conform ISO 42001.” Enter. Kopiëren. Plakken. Logo erop. Doorsturen. Geen prompthistoriek. Geen vermelding van welk model. Geen aanpassing aan de werkelijke organisatie. Geen brondocumenten. Geen risicoanalyse. Niemand heeft nagedacht. En dit is geen efficiëntie. Dit is een tijdbom met een logo erop. En ze tikt luider dan u denkt.
Dit gaat niet alleen over bedrijven. Dit gaat over u en mij.
Lang dacht ik dat dit een probleem was van bedrijven die de korte bocht nemen. Dat is het ook. Maar het echte, stille schandaal zit dichter bij huis. Het zijn de analisten en consultants zelf. Een groeiend deel van ons vak doet vandaag het volgende: een tool openen, een deliverable laten genereren — een beleid, een risicoanalyse, een gap-analyse, een auditrapport — en dat vervolgens als eigen werk doorschuiven naar een senior expert “ter review”. Het model doet de analyse. De junior plakt. De senior tekent. En de klant betaalt voor expertise die nooit werd geleverd.
We hebben een hele bedrijfstak die mensen inhuurt vanwege hun oordeel — en een deel van die mensen heeft het oordeel uitbesteed aan een taalmodel, en de verantwoordelijkheid doorgeschoven naar wie er onderaan tekent. Dat is geen consultancy. Dat is een doorgeefluik met een factuur eraan. En het verraderlijke is: het is bijna onzichtbaar. Een gegenereerde gap-analyse ziet er even professioneel uit als een gap-analyse waar drie dagen veldwerk in zit. Het verschil is of er íémand is die het kan verdedigen wanneer het ertoe doet.
Het probleem is niet AI. Het probleem is AI zónder governance.
Ik ben geen AI-scepticus. Ik gebruik deze tools elke dag en ze zijn fenomenaal. Een taalmodel produceert een eerste opzet sneller dan welke consultant ook. Dat is winst. Maar er gaapt een afgrond tussen AI gebruiken als versneller binnen een gecontroleerd proces en AI gebruiken als vervanging van het denkwerk zelf. Het eerste maakt u beter. Het tweede maakt u een doorgeefluik dat niet doorheeft dat het een doorgeefluik is.
Want een AI-managementsysteem ís geen document. Het is een systeem. Een systeem dat niemand heeft ontworpen, dat niemand begrijpt, en dat niemand kan herleiden naar de werkelijkheid, is geen managementsysteem. Het is decor. Mooi decor. Maar als de muur erop leunt, valt het om.
Wat ISO 42001 eigenlijk vraagt (en wat een prompt niet levert)
ISO/IEC 42001:2023 is de eerste certificeerbare internationale norm voor AI-managementsystemen, gepubliceerd in december 2023. De norm bevat 38 controls verdeeld over negen beheersdoelstellingen: AI-beleid, interne organisatie, middelen, impactbeoordeling, de levenscyclus van het AI-systeem, data, informatie voor belanghebbenden, verantwoord gebruik, en relaties met derden. Bijna geen enkele kunt u uit een chatbot trekken zonder dat iemand echt werk verzet.
Een AI-impactbeoordeling verwacht dat u weet wélke systemen u gebruikt, wélke data erin gaat, wíe geraakt wordt en wélke schade kan ontstaan. Een taalmodel weet niets van uw systemen; het verzint een plausibel klinkende impactbeoordeling op basis van het gemiddelde van het internet. Dat is fictie met de toon van feit. De levenscyclus van uw AI-systemen vraagt om beheer van ontwerp tot uitfasering — een gegenereerd document beschrijft er een die niet bestaat. Datagovernance vraagt: welke data voedt uw systemen, en mág dat? Verantwoordingsplicht vraagt: wie is eigenaar, wie escaleert? Het gegenereerde document beschrijft dit allemaal alsof het bestaat. Dat is precies het gevaar: de illusie van compliance — gevaarlijker dan geen compliance, omdat niemand nog zoekt naar wat ontbreekt.
De acht risico’s die niemand hardop benoemt
⚠ 8 risico’s om nu te beheersen
- Hallucinaties met een handtekening. Taalmodellen verzinnen clausules, normen en verplichtingen die nergens staan. In een document waar uw organisatie zich aan committeert, is dat een aansprakelijkheid.
- Geen herleidbaarheid, geen verdediging. Zonder prompthistoriek, model of bronnen kunt u nooit aantonen hoe een document ontstond — de kern van élke auditeerbare norm. “Een AI schreef dit en ik weet niet meer welke” is geen antwoord, het is een bekentenis.
- Generiek beleid dat nergens echt op past. Een gegenereerd document is het gemiddelde van alles waarop het model trainde; het past op geen enkele echte organisatie en breekt op het eerste incident.
- Een datalek in naam van compliance. Wie bedrijfsdata in een consumententool plakt om te personaliseren, veroorzaakt net zelf een lek.
- Verantwoordelijkheid die niemand draagt. Iedereen wijst naar de ander; wanneer het misgaat is er geen eigenaar, alleen een ketting van aannames.
- De expert misbruikt als alibi. Een gegenereerd document “ter review” gebruikt de expert om een keurmerk te plakken op iets dat van nul af aan rammelt. Reviewers zijn geen wasmachine om gegenereerde tekst schoon te draaien.
- De vakkennis die stilletjes wegrot. Als de junior nooit meer zelf de analyse maakt, leert hij het ook nooit. We outsourcen niet alleen het werk, maar het leren.
- Een vals gevoel van veiligheid. Het vinkje staat aan, “AI-compliance: done” — en precies daardoor stopt iedereen met nadenken over de echte risico’s.
En de klok tikt
De EU AI Act trad op 1 augustus 2024 in werking en wordt gefaseerd van kracht. Lees het uitstel niet als ademruimte, maar als de laatste waarschuwing vóór de storm. AI Governance is geen project dat u in één namiddag afrondt. Het is een capaciteit die u opbouwt — vanaf vandaag.
Hoe het wél moet: AI als versneller, niet als vervanger
Laat AI de eerste steen leveren, niet het afgewerkte beeld. Documenteer hoe u AI gebruikt: model, versie, prompt, bronnen — exact de herleidbaarheid die de norm verwacht. Practice what you certify. Begin bij de werkelijkheid, niet bij het document: inventariseer eerst uw AI-systemen. Zet de expert vooraan om mee te bouwen, niet achteraan om af te vinken.
En aan mijn collega-analisten en -consultants: uw waarde zit niet in het produceren van tekst — dat kan het model sneller — maar in het oordeel erachter, in kunnen uitleggen wáárom en de verantwoordelijkheid durven dragen. Dat is precies het stuk dat u niet mag wegprompten.
Mijn nieuwe regel: ik review de slop niet meer
“Ik review AI-generated slop niet meer. Ik stuur het gewoon terug. AI-generated? Prima. Maar de verantwoordelijkheid over de inhoud ligt bij de auteur. Niet bij het model. Niet bij de reviewer.”
Vanaf nu geldt bij mij één simpele regel: ik review AI-generated slop niet meer. Ik stuur het gewoon terug. AI-generated? Prima — yes, gebruik die tools, ze zijn fantastisch. Maar de verantwoordelijkheid over de inhoud ligt bij de auteur. Niet bij het model. Niet bij de reviewer. Bij wie zijn naam eronder zet. Een review is geen wasstraat om gegenereerde tekst schoon te draaien. Dat is geen hardvochtigheid, dat is respect — voor het vak, voor de klant, en voor u. Want de dag dat een auditor, toezichthouder of rechter dat document openslaat, staat u er alleen mee.
Tot slot
AI maakt het moeilijker dan ooit om het verschil te zien tussen echt werk en de schijn ervan. Neem de korte bocht niet. AI Governance is geen formaliteit die u kunt wegprompten — het is de discipline waarmee u uw organisatie en uw vak beschermt. Niet met één prompt. Met een plan.
Twijfelt u of uw AI-compliance écht hout snijdt? Plan een gesprek — laat het ons samen bekijken voordat een auditor het doet.
Bronnen: Europese Commissie; artificialintelligenceact.eu; SureCloud; ISO.org 42001; Hicomply.