9 tips voor een succesvolle implementatie van de ISO 42001

Organisaties die al beschikken over een certificering voor een management systeem (bijvoorbeeld ISO 9001 of ISO 27001) kunnen snel met ISO 42001 aan de slag. Deze ISO standaarden volgen een zelfde structuur, de zogenaamde High Level Structure. Organisaties die al zijn gecertificeerd voor andere standaarden kunnen vaak een belangrijk deel van hun management systeem hergebruiken voor hun AIMS conform ISO 42001.

Ben je nog niet gecertificeerd? Neem de tijd. Start je management systeem op nul-niveau en is het je einddoel om je AIMS te laten certificeren? Houd dan rekening met een doorlooptijd van 1 tot 1,5 jaar.

De eisen uit ISO 42001 verschillen. Dit is afhankelijk van de rol die je organisatie heeft in het ontwikkelen en/of gebruiken van AI. Is jouw organisatie vooral een eindgebruiker van AI-systemen? Maak je een vast product, waarin AI zit, of maakt je organisatie AI systemen in opdracht van klanten? Bepaal voor jezelf op voorhand welke rol jouw organisatie heeft. De rol of rollen die je vervult zijn van grote invloed op je verantwoordelijkheden en je positie bij het gebruik van de AI.

AI is geen feestje voor individuele specialisten. Het implementeren van ISO 42001 vereist een multidisciplinair team dat bestaat uit IT-specialisten, juridische experts, en operationele managers. Dit team moet verantwoordelijk zijn voor het plannen, uitvoeren en monitoren van de implementatie van de standaard en het beheren van het AIMS.

Een van de belangrijkste aspecten van ISO 42001 is risicobeheer. In onze ervaring beginnen veel organisaties met het nemen van maatregelen, zonder daarvoor een grondige risicoanalyse uit te voeren. Daarbij kan het gaan over risico’s voor de organisatie, risico’s voor individuen en de maatschappelijke risico’s. Het nemen van maatregelen zonder dat daar een risico aan is gekoppeld past niet in de gedachte van een management systeem. Voer een uitgebreide risicoanalyse uit om potentiële risico's en voordelen van uw AI-systemen te identificeren. Dit proces helpt bij het opstellen van een risicobehandelingsplan dat rekening houdt met ethische overwegingen, transparantie en verantwoording.

Naar aanleiding van de risicoanalyse moeten passende maatregelen worden getroffen. ISO 42001 biedt daarvoor een basisset aan maatregelen waar een keuze uit kan worden gemaakt. Mogelijke maatregelen zijn het implementeren van beveiligingsmaatregelen, het waarborgen van de validiteit van gegevensbronnen en het registreren van risicobeperkende inspanningen en beslissingen. ISO 42001 kent hiervoor ‘Annex A’, een lijst met maatregelen die je kunt overwegen. De ‘Annex B’ van de standaard biedt richtlijnen voor implementatie van deze maatregelen.

Bent u een gebruiker van AI? Stel een duidelijk AI-beleid op dat de doelstellingen, verantwoordelijkheden en procedures voor het gebruik van AI binnen uw organisatie beschrijft. Dit beleid moet ook richtlijnen bevatten voor ethisch gebruik, gegevensbescherming en naleving van regelgeving zoals de AI Act en wetgeving op het gebied van privacy (in Europa de GDPR).

Het management systeem is meer dan alleen een setje met afspraken. Het is cruciaal dat alle medewerkers die betrokken zijn bij het gebruik en beheer van AI-systemen goed getraind zijn in de beginselen van het management systeem. Organiseer trainingen en workshops om hen bewust te maken van de vereisten van ISO 42001 en de best practices voor het veilig en effectief gebruik van AI. Controleer (bijvoorbeeld als onderdeel van de interne audit) dat mensen het management systeem kennen, doorleven én in de praktijk brengen.

Transparantie en verantwoording zijn kernprincipes van ISO 42001. Zorg ervoor dat alle processen, beslissingen en risicobeperkende maatregelen aantoonbaar zijn. Dat betekent dat je moet documenteren wat je doet. Dat kun je bijvoorbeeld doen door documenten beschikbaar te stellen en te publiceren op een intranet, maar ook door gebruik te maken van ticketing systemen waarin de voortgang van taken wordt gevolgd of planborden waarin activiteiten worden gepland en gemonitord.

Bij andere implementaties van ISO standaarden is zichtbaar dat na een jaar na implementatie, de aandacht verslapt en de originele kennishouders en initiatiefnemers zijn vertrokken. Blijft het systeem dan overeind? Niet vanzelf. Het implementeren van ISO 42001 is geen eenmalige taak. Voer regelmatig audits en evaluaties uit om ervoor te zorgen dat uw AI-systemen blijven voldoen aan de standaard en om verbeterpunten te identificeren. Continu verbeteren is een essentieel onderdeel van ISO 42001.

Door deze tips te volgen, legt u een solide basis voor de implementatie van ISO 42001 in uw organisatie. Dit helpt bij het beheren van AI-risico's, maar ook bij het opbouwen van vertrouwen en het bevorderen van ethisch en verantwoord gebruik van AI.