Afdeling AI
Alle artikelen
/
AI Governance

ISO 42001 vs EU AI Act: twee overlappende kaders uitgelegd

De EU AI Act en ISO 42001 gaan allebei over verantwoord gebruik van AI. Maar ze zijn niet hetzelfde. Dit is de praktische uitleg van wat ze gemeen hebben, waar ze verschillen, en welke volgorde logisch is voor MKB.

Afdeling AI|13 mei 2026

Als je serieus nadenkt over AI-compliance, kom je vroeg of laat bij twee kaders uit: de EU AI Act en ISO 42001. Ze overlappen, maar zijn niet hetzelfde. En de vraag "welke van de twee is verplicht?" verdient een eerlijk antwoord.

In één zin

EU AI Act: Europese wet. Verplicht. Risico-gebaseerde regels voor AI-gebruik. Boetes bij overtreding. De volledige wettekst is beschikbaar via artificialintelligenceact.eu.

ISO 42001: Internationale norm. Vrijwillig. Managementsysteem voor AI-governance. Certificering mogelijk maar niet vereist.

Wat de EU AI Act van je vraagt

De EU AI Act is wetgeving — geen keuze. De kern is een risicoklassificatie:

  • Onaanvaardbaar risico: Verboden systemen (sociale scoring, manipulatieve AI)
  • Hoog risico: Strenge verplichtingen (o.a. AI in HR, kredietwaardigheid, kritieke infrastructuur)
  • Beperkt risico: Transparantieverplichtingen (chatbots, deepfakes)
  • Minimaal risico: Geen specifieke verplichtingen

Voor de meeste MKB-bedrijven is de relevante verplichting Article 50: als je AI inzet voor klantcontact op een manier die menselijk lijkt (chatbots, AI-gegenereerde e-mails), moet je dat openbaar maken. Deadline: 2 augustus 2026.

Wat de EU AI Act niet vraagt: Een volledig managementsysteem, certificering, of specifieke documentatiestructuren — tenzij je een hoog-risico toepassing inzet.

Wat ISO 42001 van je vraagt

ISO 42001 is een managementnorm — vrijwillig, maar steeds meer gewenst door grote afnemers en overheden.

De norm vraagt dat je een AI-managementsysteem (AIMS) opzet: een gestructureerde aanpak voor hoe je AI bestuurt, bewaakt en verbetert. De vier pijlers:

  1. Context en leiderschap — wie is verantwoordelijk voor AI, wat is het beleid?
  2. Risicobeheer — welke risico's kleven aan jouw AI-gebruik?
  3. Operationele beheersing — hoe zorg je dat AI-gebruik voldoet aan het beleid?
  4. Evaluatie en verbetering — hoe monitor je en pas je aan?

ISO 42001 vraagt dus meer dan de EU AI Act voor de meeste MKB-situaties: het vraagt een systeem, niet alleen naleving van specifieke regels.

De overlap — wat ze allebei vragen

De gemeenschappelijke basis: beide kaders vragen dat je weet wat je doet met AI, waarom, en voor wie. De AI-inventaris is de startpagina van beide.

Het praktische verschil voor MKB

Als je alleen aan de EU AI Act wilt voldoen:

  • Maak een AI-inventaris van alle tools je gebruikt
  • Beoordeel per tool of er klantcontact is (→ transparantieplicht)
  • Voeg disclosure toe aan chatbots en AI-gegenereerde communicatie
  • Controleer of je hoog-risico toepassingen gebruikt (voor de meeste MKB: nee)
  • Klaar — je bent compliant

Als je ook ISO 42001 wilt implementeren:

  • AI-inventaris (zelfde als boven)
  • Schrijf een AI-beleid (wie mag wat, welke tools zijn goedgekeurd)
  • Risicoanalyse voor alle AI-toepassingen
  • Definieer rollen en verantwoordelijkheden
  • Stel meetpunten in voor AI-prestaties
  • Plan jaarlijkse review
  • Optioneel: laat certificeren

ISO 42001 vraagt meer werk — maar het levert ook meer op: een gestructureerde aanpak die ook bij nieuwe AI-tools en toekomstige wetgeving standhoudt.

Welke doe je eerst?

Voor MKB is de logische volgorde:

Stap 1: EU AI Act compliance — verplicht, concrete deadline (augustus 2026), beperkte omvang voor de meeste MKB-toepassingen.

Stap 2: ISO 42001 implementatie — vrijwillig, maar nuttig als structuur voor alles wat daarna komt.

De structuren die je bouwt voor EU AI Act compliance — de inventaris, de risicoanalyse, de disclosure-teksten — zijn direct herbruikbaar als je daarna ISO 42001 wilt implementeren. Je bouwt het fundament maar één keer.

Een concreet actieplan

Maand 1–2: EU AI Act basis

  • AI-inventaris: welke tools gebruik je, voor welke doelen?
  • Beoordeel per tool: klantcontact ja/nee?
  • Voeg AI-disclosure toe aan alle klantgerichte toepassingen
  • Controleer hoog-risico toepassingen (sollicitatie-AI, kredietbeoordeling, medische systemen)

Maand 3–4: Governance fundament (richting ISO 42001)

  • Schrijf een AI-beleidsnotitie (1–2 pagina's)
  • Wijs een AI-verantwoordelijke aan
  • Voer basisrisicoanalyse uit voor alle actieve AI-tools

Maand 5–6: Evaluatie en beslissing

  • Review: werkt het systeem? Worden de regels gevolgd?
  • Besluit: heeft certificering voor ISO 42001 zakelijke waarde voor ons?

De combinatie als concurrentievoordeel

Bedrijven die zowel EU AI Act-compliant zijn én een AI-managementsysteem hebben, kunnen dit aantonen aan klanten, aanbestedende diensten, en partners. In een wereld waar AI-governance een standaard onderwerp wordt bij due diligence, is dat een differentiator.

Meer over hoe compliance strategisch waarde oplevert: Compliance als concurrentievoordeel.

→ Meer over de EU AI Act Audit

→ Lees ook: ISO 42001 — de AI-managementnorm die naast de EU AI Act bestaat

→ Lees ook: de AI-inventaris als eerste stap naar compliance

→ Lees ook: wat is de EU AI Act en wat betekent het voor jouw MKB?

Gratis download — AI Strategie Canvas

Breng jouw AI-plannen in kaart met dit gestructureerde canvas: van doelen en tools tot implementatiestappen en risico's. Handig als startpunt voor een intern gesprek of een concrete implementatie.

→ Download gratis: AI Strategie Canvas

Wil je weten wat dit voor jouw bedrijf betekent?

Doe de gratis AI Check en weet binnen 5 minuten waar je staat. Of plan een vrijblijvend gesprek.

Doe de gratis AI CheckPlan een gesprek