ISO 42001 vs de EU AI-wet: Hoe ze samenwerken
ISO/IEC 42001 is een vrijwillige, certificeerbare management-systeemnorm voor AI. De EU AI-wet is bindende wetgeving. Ze zijn complementair, niet uitwisselbaar: een goed uitgevoerd ISO 42001-managementsysteem bouwt veel van de governance, risico's en levenscyclusbewijs dat de EU AI-wet verwacht — maar het maakt je op zichzelf niet wettelijk conform. Hier staat precies waar ze overeenkomen en waar ze niet overeenkomen.
ISO 42001 vs de EU AI-wet: Hoe ze samenwerken
ISO/IEC 42001 is een vrijwillige, certificeerbare management-systeemnorm voor AI. De EU AI-wet is bindende wetgeving. Ze zijn complementair, niet uitwisselbaar: een goed uitgevoerd ISO 42001-managementsysteem bouwt veel van de governance, risico's en levenscyclusbewijs dat de EU AI-wet verwacht — maar het maakt je op zichzelf niet wettelijk conform. Hier staat precies waar ze overeenkomen en waar ze niet overeenkomen.
Laatst bijgewerkt: 4 juli 2026
Wat elk ervan is
Twee verschillende instrumenten die twee verschillende taken uitvoeren:
- ISO/IEC 42001:2023 is een internationale standaard voor een AI-managementsysteem (AIMS). Het specificeert hoe een organisatie governance over haar AI moet opzetten, implementeren, onderhouden en voortdurend verbeteren. Het is vrijwillig, volgt dezelfde management-systeemstructuur als ISO 27001 of ISO 9001, en kan gecertificeerd worden door een geaccrediteerde derde partij.
- De EU AI-wet (Verordening (EU) 2024/1689) is bindende EU-wetgeving. Het is rechtstreeks van toepassing in de hele Unie, classificeert AI-systemen naar risico en legt specifieke productniveau- en aanbieder-verplichtingen op — met boetes voor niet-naleving. Je 'adopteert' het niet; het is van toepassing op je als je AI op de EU-markt wordt geplaatst of deze beïnvloedt.
- Kort samengevat: ISO 42001 is een proces-/organisatorische standaard die je vrijwillig volgt; de EU AI-wet is een wettelijk regime dat je moet gehoorzamen.
Vrijwillige standaard vs bindende regelgeving
De twee werken op verschillende niveaus, waardoor de een de ander niet kan vervangen:
- Rechtskracht. ISO 42001-conformiteit is optioneel en marktgedreven (klanten, aanbestedingen, vertrouwen). De EU AI-wet is verplicht en wordt afgedwongen door nationale autoriteiten.
- Bestuursniveau. ISO 42001 regelt je managementsysteem — beleid, rollen, processen voor je hele AI-portfolio. De EU AI-wet koppelt verplichtingen aan specifieke AI-systemen per risicoklasse (verboden, hoogrisico, beperkt risico, minimaal).
- Hoe 'klaar' eruitziet. ISO 42001-succes is een gecertificeerd, voortdurend verbeterd AIMS. EU AI-wet-succes is het nakomen van artikel-specifieke verplichtingen voor elk systeem in het kader: risicobeheer, gegevensbeheer, technische documentatie, logging, transparantie, menselijke toezicht, nauwkeurigheid/robustheid, conformiteitsbeoordeling en (voor hoogrisico) CE-markering en EU-databaseregistratie.
- Wie je beoordeelt. Een geaccrediteerde certificeringsinstantie auditeert ISO 42001. Een markttoezichtautoriteit — niet een certificeringsinstantie — handhaaft de EU AI-wet.
Hoe ISO 42001 EU AI-wet-conformiteit ondersteunt
Een ISO 42001 AIMS produceert veel van de governance-structuur die de EU AI-wet veronderstelt dat je al hebt. De controles in Annex A kaarten natuurlijk naar verschillende EU AI-wet-thema's:
- Governance & verantwoordelijkheid. AI-beleid, gedefinieerde rollen en managementreview komen overeen met de EU AI-wet-kwaliteitsmanagementsysteemverwachting (Artikel 17) en de verantwoordelijkheidspositie.
- Risicobeheer. ISO 42001's AI-risicobeoordeling en -behandelingsproces geeft je het operationele ritme om de continue, systeemniveau-risicobeheer te runnen die de EU AI-wet vereist voor hoogrisico-AI (Artikel 9).
- Gegevens & levenscyclus. Controles voor gegevenskwaliteit, -bronnen en de AI-systeemlevenscyclus ondersteunen EU AI-wet-gegevensbeheer (Artikel 10) en technische documentatieverplichtingen (Artikel 11).
- Toezicht & operatie. Controles voor menselijke toezicht, monitoring en operationele records geven je een voorsprong op Artikel 14 (menselijke toezicht) en Artikel 12 (record-keeping/logging).
Waar ISO 42001 je niet conform maakt: een managementsysteem is geen conformiteitsbeoordeling. ISO 42001 levert geen CE-markering, EU-databaseregistratie, een EU-geautoriseerde vertegenwoordiger of de artikel-specifieke productvereisten voor een specifiek hoogrisicosysteem. Twee precieze waarschuwingen: (1) ISO 42001-conformiteit is niet hetzelfde als certificering — 'gealigneerd' zijn is niet hetzelfde als gecertificeerd; en (2) ISO 42001-certificering is niet hetzelfde als EU AI-wet-wettelijke conformiteit — een certificaat is bewijs van een goed managementsysteem, nooit een wettelijke vrijhaven.
Mapping: ISO 42001-gebieden naar EU AI-wet-artikelen
Een praktische crosswalk. Gebruik deze om te zien wat je AIMS al dekt en waar EU AI-wet-specifiek werk nog resteert:
- AI-beleid & leiderschap → Artikel 17 (kwaliteitsmanagementsysteem) en algemene verantwoordelijkheid
- AI-risicobeoordeling & -behandeling → Artikel 9 (risicobeheersysteem)
- Gegevens voor AI-systemen / broncontroles → Artikel 10 (gegevens en gegevensbeheer)
- AI-systeemlevenscyclus & documentatiecontroles → Artikel 11 en Bijlage IV (technische documentatie)
- Operationele monitoring & records → Artikel 12 (record-keeping/logging)
- Informatie voor geïnteresseerde partijen / transparantiecontroles → Artikel 13 (transparantie voor deployers)
- Menselijke toezichtcontroles → Artikel 14 (menselijke toezicht)
- Prestatie, verificatie & monitoringcontroles → Artikel 15 (nauwkeurigheid, robustheid, cybersecurity)
Dit is een directionele mapping om gap-analyse te ondersteunen, geen officiële equivalentietabel. Geen enkele ISO 42001-clausule 'voldoet' aan een EU AI-wet-artikel op zichzelf; elk vereist nog steeds het specifieke bewijs voor het specifieke systeem.
Hoe AIAgentree helpt
AIAgentree captureert de beslissing- en toezichtsbewijs dat zowel de operationele records van een ISO 42001 AIMS als de specifieke Artikel 12- en Artikel 14-bewijs van de EU AI-wet ondersteunt — dezelfde onderliggende gegevens die beide modellen bedienen (AIAgentree is niet ISO 42001- of EU-AI-wet-'gecertificeerd'; het produceert het bewijs):
- Tamper-evidente beslissingsrecords voor elke agentbeslissing, met menselijke toezicht- en goedkeuringsworkflows — de operationele bewijs die een AIMS-operatie-log en Artikel 12 logging/Artikel 14 toezichtsbewijs vereist.
- EU-gegevensresidencie in Duitsland, audit-fit retentie (minstens 6 maanden), plus precedentzoek en uitkomstvolging zodat je governance-bewijs consistent, opvraagbaar en verdedigbaar is onder review.
- Python- en TypeScript-SDK's en open interfaces — REST, MCP, A2A en OpenTelemetry — om beslissingsbewijs te voeden in je bestaande AIMS-, GRC- of SIEM-hulpmiddelen. Start op de gratis laag (25 traces) met sub-10ms asynchrone capture. (SOC 2 is in uitvoering.)
Veelgestelde vragen
Maakt ISO 42001-certificering me compliant met de EU AI Act?
Nee. ISO 42001-certificering toont een goed AI-beheersysteem en kan sterk bewijs zijn van governance-maturiteit, maar het is geen wettelijke veilige haven. De EU AI Act legt systeemspecifieke verplichtingen op — conformiteitsbeoordeling, CE-markering, EU-databaseregistratie en artikel-specifieke technische vereisten voor hoogrisico-AI — die een management-systeemcertificaat niet levert. Certificering ondersteunt compliance; het vervangt het niet.
Is ISO 42001 verplicht in de EU?
Nee. ISO/IEC 42001 is een vrijwillige internationale standaard. De EU AI Act is het verplichte instrument. Geharmoniseerde Europese standaarden (ontwikkeld via CEN/CENELEC) — en niet ISO 42001 direct — zullen de vermoeden-van-conformiteitroute onder de Act bieden. ISO 42001 blijft een breed bruikbare governance-ruggengraat, maar het adopteren ervan is een bedrijfskeuze, geen wettelijke vereiste.
Wat is het verschil tussen ISO 42001-klaarheid en -certificering?
Klaarheid betekent dat uw management-systeem voldoet aan de vereisten van de standaard — u zou een audit kunnen doorstaan. Certificering betekent dat een geaccrediteerde derde partij u daadwerkelijk heeft geaudit en een certificaat heeft uitgegeven. 'Klaarheid' is een zelf-beoordeelde staat; 'certificering' is een onafhankelijk geverifieerde staat. Geen van beiden is gelijk aan EU AI Act-wettelijke compliance.
Waar helpt ISO 42001 het meest bij de EU AI Act?
In governance, risicobeheer en levenscyclusdiscipline. Een ISO 42001 AIMS geeft u de beleidsregels, rollen, risicoproces en operationele records die artikelen 9, 10, 11, 12, 14 en 17 veronderstellen. Het is het zwakst op de EU-specifieke, systeemniveau-verplichtingen — conformiteitsbeoordeling, CE-markering, registratie en de geautoriseerde-vertegenwoordiger-eis — die buiten een management-systeemstandaard vallen.
Kan één programma zowel ISO 42001 als de EU AI Act dekken?
Ja, en de meeste volwassen organisaties draaien ze samen. Gebruik ISO 42001 als het management-systeemkader en leg de EU AI Act's systeemspecifieke verplichtingen daar bovenop, hergebruik gedeelde bewijslast (risicobeoordelingen, documentatie, toezichtsrecords, logboeken). AIAgentree's besluitrecords en toezichtwerkstromen zijn ontworpen om beide te voeden zonder het werk te dupliceren.
Ga verder met het verkennen van de EU AI Act-gids
EU AI Act-nalevingsgids
De complete gids voor EU AI Act-naleving voor AI-agents — start hier.
Artikel 12 — Record-keeping & Logging
Wat elk hoogrisico AI-systeem moet loggen en hoe je het vastlegt.
Artikel 14 — Menselijke toezicht
Het ontwerpen van effectieve menselijke controles in de lus voor AI-beslissingen.
Bijlage III — Hoogrisico AI-systemen
Welke AI-gebruiksgevallen de wet classificeert als hoogrisico.
EU AI Act-nalevingscontrolelijst
Een stap-voor-stap controlelijst om naleving te bereiken en te documenteren.
Nalevingskostenberekenaar
Schat uw EU AI Act-nalevingsinspanning en -kosten.
Deadline & Tijdlijn
Belangrijke handhavingsdata, inclusief de deadline van 2 augustus 2026.
Boetes & Sancties
Boetetarieven tot €35M of 7% van de wereldwijde jaarlijkse omzet.
Transparantieverplichtingen (Art. 13 & 50)
Openbaarmakingsplichten voor AI-systemen en hun uitvoer.
Risicobeheer & Conformiteitsbeoordeling
Bouw een risicobeheersysteem en beoordeel de conformiteit.
GPAI-verplichtingen
Regels voor aanbieders van algemene AI-modellen.
EU AI Act voor Amerikaanse bedrijven
Extraterritoriale reikwijdte en wat Amerikaanse aanbieders moeten doen.
Omnibus-update
De laatste wijzigingen in de EU AI Act-tijdlijn en -regels.
BoetecalcULATOR
Schat uw maximale boete onder de artikel 99-tarieven.
Artikel 11 + Bijlage IV
Welke technische documentatie de EU AI-wet vereist.
Artikel 26: Verplichtingen van de implementer
Wat implementers van high-risk AI moeten doen, inclusief logretentie.
Artikel 17: Kwaliteitsbeheer
Het QMS dat aanbieders van high-risk AI moeten documenteren.
Artikel 10: Gegevensbeheer
Gegevenskwaliteit, mitigatie van vooringenomenheid en beheerstaken.
Artikel 4: AI-geletterdheid
De AI-geletterdheidsverplichting voor het personeel die sinds februari 2025 van kracht is.
Implementer vs Aanbieder
Wie draagt welke verplichting — en wanneer een implementer een aanbieder wordt.
FRIA (Artikel 27)
Wie een Fundamental Rights Impact Assessment moet uitvoeren, en hoe.
Wie Valt Hier Onder?
Reikwijdte, exploitanten en de extraterritoriale reikwijdte van de EU AI-wet.
Nasmarkttoezicht
Artikelen 72–73: voortdurend toezicht en incidentenrapportage.
NIST AI RMF vs EU AI-wet
Een praktische crosswalk tussen het kader en de wet.
EU AI-wet voor de Gezondheidszorg
High-risk medische AI, MDR/IVDR-interactie en clinici-toezicht.
EU AI-wet voor Financiële Diensten
Credit scoring, verzekeringsprijzen en bestaande financiële regelgeving.
EU AI-wet voor HR & Werkgelegenheid
Het aannemen van AI als high-risk, plus NYC LL144 en EEOC-overlapping.