Projectmanagement · AI-governance

ISO 42001 implementeren als project: aanpak en valkuilen

ISO/IEC 42001 is de eerste internationale norm voor AI-management. De meeste organisaties benaderen 'm als een documentproject — beleidsstukken, controles, evidence. Dat werkt niet. ISO 42001 invoeren is een verandering die alleen slaagt als je 'm als een écht project runt.

Waarom een project, geen document

De norm raakt data, modellen, leveranciers, juridische, HR, security, en de business die AI dagelijks gebruikt. Dat is per definitie multidisciplinair. Zonder governance, planning en risico-management wordt de scope wollig, worden deadlines gemist en blijven controles op papier bestaan.

Aanpak in vijf blokken

  1. 1. Governance opzetten. Stuurgroep, AI-verantwoordelijke, RACI en besluitkaders — vóórdat je begint met beleid schrijven.
  2. 2. AI-inventaris. Alle AI-use-cases in beeld, met eigenaar, data en risicoklasse. Dit is dé grootste onderschatting.
  3. 3. Risico- en impactbeoordeling. Per use-case: bias, privacy, veiligheid, transparantie. Prioriteer op basis van impact, niet perceptie.
  4. 4. Controles en processen. Annex A-controls landen in echte werkstromen: dataclassificatie, modelvalidatie, monitoring, incident-response.
  5. 5. Audit-voorbereiding. Interne audit, evidence pack, directiebeoordeling — als één sluitend spoor.

Vijf typische valkuilen

  • Alles tegelijk willen doen. Kies drie use-cases, doe het daar goed, schaal daarna op.
  • Alleen IT aan tafel. Juridische, HR en business zijn geen "communicatie" — ze zijn stakeholders.
  • Foundation models als black box. Zonder afspraken met leveranciers krijg je Annex A niet dicht.
  • Beleid zonder gedrag. Een AI-policy die niemand kent, verandert niets in de dagelijkse praktijk.
  • Audit als eindstation. Bouw evidence tijdens uitvoering, niet drie weken vóór de audit.

Planning: realistisch in maanden, niet weken

Voor een middelgrote organisatie zit een realistisch traject tussen zes en twaalf maanden, afhankelijk van volwassenheid, aantal AI-use-cases en de bestaande ISO 27001-basis. Een gezonde ijzeren driehoek tussen scope, tijd en middelen bepaalt hier alles.

De norm zelf en certificering

Dit artikel gaat over ISO 42001 als projectuitvoering. Voor de norm zelf, gap-assessments, controle-interpretatie en certificeringsbegeleiding werk ik samen met RGI bv, gespecialiseerd in ISO 42001-advies.

Voor de norm en certificering: ISO 42001-begeleiding door RGI bv →

Hulp nodig bij de uitvoering?

Als freelance projectmanager trek ik ISO 42001-trajecten van scope tot audit. Zie ook: freelance projectmanager voor security- en complianceprojecten en interim projectmanager in Vlaanderen.

Weet waar je staat. Plan een gesprek.

Een gesprek van 30 minuten. Geen verplichting. We zeggen je eerlijk of we kunnen helpen.

Plan een vrijblijvend gesprek